缃戠粶涓庝俊鎭�瀹夊叏搴旀�ュ搷搴旀妧鏈�瑙勮寖涓庢寚鍗� - 鐧惧害鏂囧簱

QB-XX-XXX-2004

通过检查core文件，没有发现什么. 检查rootkit

通过chkrootkit检查，没有发现异常。 查找没有属主的文件 查找隐藏文件

没有发现异常

与系统快照进行对比, 检测文件是否改变 使用lsof检测文件和进程关联

第 49 页 共 89 页

QB-XX-XXX-2004

这里是lsof | grep *: 的输出结果。在最下面一行标记，发现名为sendmail的进程,，监听TCP：2457端口，正常情况Sendmail不会开这么高的端口； 继续检测，telnet localhost 2457，

发现是SSH服务端，还改了个sendmail的名字，确认为被入侵并被安装了rootkit后门。 总结：

在基本检测中，没有发现它的。可见rootkit隐藏了端口和进程(通过替换netstat 和 ps文件)。这里查出了rootkit.。其实可以用干净的备份系统命令做一下验证。

第 50 页 共 89 页

QB-XX-XXX-2004

这是从应急响应盘拷贝过来的netstat的输出，可以看到2457端口在监听。 检测可加载内核模块后门

通过与快照对比检测，没有发现什么异常 检测sendmail配置后门 没有发现异常

检测/usr/bin/login，通过与快照对比检测，发现文件被替换了 检测/usr/bin/su，通过与快照对比检测，没有发现什么异常

第 51 页 共 89 页

QB-XX-XXX-2004

2.4 网络安全事件检测方法 2.4.1 拒绝服务事件检测方法

2.4.1.1 利用系统漏洞的拒绝服务攻击检测方法

检测方法：

通过利用操作系统漏洞，能对系统进行拒绝服务攻击，受攻击系统将会出现系统不能正常运行，死机，CPU占用率过高，内存占用率过高等种种现象。 对于此类攻击方式，可通过以下方法检测：

使用资源管理器（Solaris使用ps –aux命令）检查当前内存、CPU等资源占用情况； 检测系统进程和快照对比，找出非法进程；

检测网络连接和快照对比，找出可疑的网络连接。 2.4.1.2 利用网络协议的拒绝服务攻击检测方法

攻击者利用网络协议某些特性可能对系统发动拒绝服务攻击，比如说常用的SYN-FLOOD就是利用TCP协议三次握手的特点发起的攻击。

1) 对于SYN-FLOOD攻击，可通过利用netstat –an 命令（适用于Windows/Unix系统），

能发现当前活动连接的状态中存在大量的SYN_RECEIVED状态包，这表明系统正受到SYN-FLOOD拒绝服务攻击；

2) 通过使用SNIFFER，如果发现大量非正常网络连接，或协议的非正常分布，如icmp或

UDP协议数据超过总流量的20%；表明系统正在受到拒绝服务攻击。 2.4.2 网络欺骗安全事件检测方法

2.4.2.1 DNS欺骗检测规范及案例

防范DNS欺骗只要防范arp欺骗就可以了，所以防范方法参见《2.4.3.2交换环境下SNIFFER检测规范及案例》 案例：

参见《2.4.3.2交换环境下SNIFFER检测规范及案例》 2.4.2.2 WEB欺骗检测规范及案例

防范web欺骗只要防范arp欺骗就可以了，所以防范方法参见《2.4.3.2交换环境下SNIFFER检测规范及案例》 案例：

参见《2.4.3.2交换环境下SNIFFER检测规范及案例》

第 52 页 共 89 页