Составители:
343
#ps -ef
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 13:09 ? 00:00:04 init
root 2 1 0 13:09 ? 00:00:00 [kflushd]
root 3 1 0 13:09 ? 00:00:00 [kupdate]
root 4 1 0 13:09 ? 00:00:00 [kpiod]
root 5 1 0 13:09 ? 00:00:00 [kswapd]
root 6 1 0 13:09 ? 00:00:00 [mdrecoveryd]
bin 3 11 1 0 13:09 ? 00:00:00 portmap
root 327 1 0 13:10 ? 00:00:00 /usr/sbin/apmd -p 10 -w 5 -W
root 380 1 0 13:10 ? 00:00:00 syslogd -m 0
root 391 1 0 13:10 ? 00:00:00 klogd
daemon 407 1 0 13:10 ? 00:00:00 /usr/sbin/atd
root 423 1 0 13:10 ? 00:00:00 crond
root 439 1 0 13:10 ? 00:00:00 inetd
root 455 1 0 13:10 ? 00:00:00 lpd
root 494 1 0 13:10 ? 00:00:00 sendmail: accepting connections
root 511 1 0 13:10 ? 00:00:00 gpm -t ps/2
xfs 528 1 0 13:10 ? 00:00:00 xfs -droppriv -daemon -port -1
root 570 1 0 13:10 tty1 00:00:00 login - root
root 571 1 0 13:10 tty2 00:00:00 /sbin/mingetty tty2
root 572 1 0 13:10 tty3 00:00:00 /sbin/mingetty tty3
root 573 1 0 13:10 tty4 00:00:00 /sbin/mingetty tty4
root 574 1 0 13:10 tty5 00:00:00 /sbin/mingetty tty5
root 575 1 0 13:10 tty6 00:00:00 /sbin/mingetty tty6
root 578 1 0 13:10 ? 00:00:00 perl /usr/libexec/webmin/miniser
root 579 570 0 13:10 tty1 00:00:00 -bash
root 621 579 0 13:17 tty1 00:00:00 ps -ef
Следует периодически проверять список процессов, работающих в
системе. Если обнаруживается что-либо незнакомое, то необходимо
выяснить, что это такое.
22.7.2.4 Измененные файлы
Когда злоумышленник успешно проникает в систему, он может
попытаться изменить системные файлы для обеспечения продолжительного
доступа к системе. Файлы, передаваемые в систему, обычно называются
«rootkit», так как позволяют злоумышленнику осуществить доступ через
корневую (root) учетную запись. В дополнение к таким программам, как
снифферы, rootkit может содержать двоичные замещения для следующих
файлов:
ftpd passwd
inetd ps
login ssh
netstat telnetd
#ps -ef
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 13:09 ? 00:00:04 init
root 2 1 0 13:09 ? 00:00:00 [kflushd]
root 3 1 0 13:09 ? 00:00:00 [kupdate]
root 4 1 0 13:09 ? 00:00:00 [kpiod]
root 5 1 0 13:09 ? 00:00:00 [kswapd]
root 6 1 0 13:09 ? 00:00:00 [mdrecoveryd]
bin 3 11 1 0 13:09 ? 00:00:00 portmap
root 327 1 0 13:10 ? 00:00:00 /usr/sbin/apmd -p 10 -w 5 -W
root 380 1 0 13:10 ? 00:00:00 syslogd -m 0
root 391 1 0 13:10 ? 00:00:00 klogd
daemon 407 1 0 13:10 ? 00:00:00 /usr/sbin/atd
root 423 1 0 13:10 ? 00:00:00 crond
root 439 1 0 13:10 ? 00:00:00 inetd
root 455 1 0 13:10 ? 00:00:00 lpd
root 494 1 0 13:10 ? 00:00:00 sendmail: accepting connections
root 511 1 0 13:10 ? 00:00:00 gpm -t ps/2
xfs 528 1 0 13:10 ? 00:00:00 xfs -droppriv -daemon -port -1
root 570 1 0 13:10 tty1 00:00:00 login - root
root 571 1 0 13:10 tty2 00:00:00 /sbin/mingetty tty2
root 572 1 0 13:10 tty3 00:00:00 /sbin/mingetty tty3
root 573 1 0 13:10 tty4 00:00:00 /sbin/mingetty tty4
root 574 1 0 13:10 tty5 00:00:00 /sbin/mingetty tty5
root 575 1 0 13:10 tty6 00:00:00 /sbin/mingetty tty6
root 578 1 0 13:10 ? 00:00:00 perl /usr/libexec/webmin/miniser
root 579 570 0 13:10 tty1 00:00:00 -bash
root 621 579 0 13:17 tty1 00:00:00 ps -ef
Следует периодически проверять список процессов, работающих в
системе. Если обнаруживается что-либо незнакомое, то необходимо
выяснить, что это такое.
22.7.2.4 Измененные файлы
Когда злоумышленник успешно проникает в систему, он может
попытаться изменить системные файлы для обеспечения продолжительного
доступа к системе. Файлы, передаваемые в систему, обычно называются
«rootkit», так как позволяют злоумышленнику осуществить доступ через
корневую (root) учетную запись. В дополнение к таким программам, как
снифферы, rootkit может содержать двоичные замещения для следующих
файлов:
ftpd passwd
inetd ps
login ssh
netstat telnetd
343
Страницы
- « первая
- ‹ предыдущая
- …
- 341
- 342
- 343
- 344
- 345
- …
- следующая ›
- последняя »
