当黑客进行网络攻击的时候,其中的一个首要目标是获得要破坏的系统超级用户权限。如果破坏过程正在以超级用户权限进行,那么即意味着实际的攻击已经开始。
这种Windows网络程序攻击事件非常常见,因为人们通常以管理员的身份进入操作系统。在很多普通的Windows系统中,具有进入系统权限的黑客能够完全地控制这一系统──而且能够安装远程可执行的命令解释程序,或者安装一个能够进一步访问系统的“backdoor”程序。
而且,很多入侵者还关闭了自己进入的地方,以阻止其它人从同样地方进入到系统,或者删除掉攻击的痕迹,并且随意安装自己的软件。此时攻击者成为了系统的主人。
在UNIX系统中,很多程序都以超级用户权限而运行。而在UNIX系统中以超级用户权限运行的程序常常成为入侵者攻击的首要目标。这一点而言,UNIX和Windows具有相同之处。
UNIX系统中以超级用户运行的网络程序一般都需要被多个用户帐号访问,或者需要处理多个用户信息。这些网络程序包括:OpenSSH,e-mail服务器软件(比如Sendmail),以及FTP后台程序。很多程序,如Apache Web server,在启动和连接网络服务之后,能够将用户权限转换为一个非超级用户,从而防止网络攻击,但有些程序没有这一功能。
但是,在UNIX系统中转换用户权限为非超级用户并不意味着系统上的安全。当地的攻击仍然存在,而且入侵者也可以远距离地运行命令。他们总会千方百计地进入到系统并获得超级用户权限。一旦入侵者获得超级用户访问,他们下一步就会安装一个rootkit,以继续保持他们的访问权限并扩大攻击的范围。
Rootkit是基本UNIX系统命令中可替代程序的集合,系统遭受破坏之后,它能够很快地控制系统和保持访问系统的权限。除非你已经证实了程序的使用权限,否则你将无法知道是否已经有人破坏了你的机器。
如Tripwire这样的程序记载了系统文件的改变,并且在问题产生的时候能够给操作者提供警报。Tripwire可以以两种commercial 和open source版本而使用,而且很多人认为它是保护UNIX操作系统的一个很有实际作用的标准工具。
还有一款名为chkrootkit的出色的公开源代码工具,它能够很快检查不同的UNIX rootkits。如果你没有使用Tripwire,并怀疑有人已经破坏到你的UNIX系统,我建议你立即下载并使用chkrootkit。
如果你的系统不是很混乱,那么维护起来就更加容易,而且受到攻击的可能性会减小。而安装Tripwire是一个很好的主意。
但是只识别到在UNIX系统是否已经安装了rootkits,这远非还不够,你还需要知道如何移除它们。下一次,我将告诉你如何在UNIX系统中移除rootkits而使得系统得以恢复。
