超级会员免费看
Linux系统文件分析与恶意软件防范
1. 特殊权限文件定位
在Linux系统中,setUID和setGID可执行文件拥有高于普通用户的权限。当这些文件被执行时,它们会以文件所有者的权限运行,而非启动程序的用户权限。通常,SUID/SGID root可执行文件最令人担忧,但具体情况还取决于工作环境。这类文件的安全漏洞或配置错误可能导致本地系统的权限提升,因此定位这些文件非常重要。
可以使用“find”命令快速定位符合特定条件的文件,以下是具体命令:
find / -perm -4000 –type f -xdev -print > suid.txt
find / -perm -2000 –type f -xdev -print > sgid.txt
这两个命令从系统根目录(/)开始,查找权限为4000(setUID)或2000(setGID)的普通文件,并将其完整路径输出到标准输出,然后重定向到指定文件。指定普通文件是为了排除块设备、字符设备、套接字等。“-xdev”标志确保“find”不会进入其他文件系统的目录,但这也可能会排除一些需要搜索的目录,此时可以用“! -fstype nfs”替代“-xdev”。更多选项可查看“find”的手册页。
2. 近期修改、访问或创建的文件
如果怀疑系统在某个时间段内被入侵,可以查找该时间段前后修改、访问或创建的文件。例如,系统管理员发现五天前开始出现未经授权的出站IRC连接,可以使用以下命令:
find / -mtime 5
订阅专栏 解锁全文
扫一扫
2896
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
