搞好服务器的入侵检测(7)
作者:雨林 来源:站长网 发布时间:2008-09-26 18:51:00
标签:服务器,安全,入侵
7.检查系统文件
攻击者在入侵中或者入侵成功后,会在系统文件上做文章隐藏保护入侵工具(一般是木马的客户端)。其主要手段是替换同名的系统文件(exe和dll文件),或者实施系统文件与木马的捆绑。
服务器入侵检测中对于系统文件的检测,笔者建议在服务器系统安装完毕之后用“dir *.exe /s >1.txt”将系统盘所有的exe文件列表保存下来。这样,在检测时,先该命令生成一份当前服务器系统盘文件列表,然后用FC命令比较两个文件从而发现可疑文件,对于dll文件的检测方法类似。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。(图11)
图11
对于被捆绑的系统文件的安全检测,笔者建议可以通过SFC命令还原纯净的系统文件。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。
0
投稿猜你喜欢
- 1、准备基本的chroot环境在进入chroot环境之前要先准备好相应的设置,在本例中我们打算将ftpd chroot到/var/chroo
在前面的讲解(//www.jb51.net/article/97357.htm)中,我们已经在VMware虚拟机管理软件中,创建了一台虚拟的- 在Internet上,E-mail是用户之间交往沟通的最佳方式。通过电子邮件,可以为Linux系统开拓新的空间,增强与外界的联系。已经证明,
- 途牛网tuniu.com作为国内知名的旅游直销网站在国内还是很有名气的,也是南京本地为数不多的比较成功的互联网企业。去年大学刚毕业刚好认识途
- 刚刚在站长网看到这么一篇文章“站长!你愿意干掉你网站的最大绊脚石吗?”,大致意思是让站长们把网站的流量做起来过后就删除统计代码,只顾埋头向前
- 前段时间,一位使用帝国CMS的朋友问我,帝国的碎片是什么意思,是做什么用的?我是这样回答的:现在很多门户网站的首页的信息大部分不是自动读取的
- 先声明一下,这个功能一般对于希望远程控制emule的朋友适用,对于一般的用户,可以不用打开,希望朋友们要注意一下。另外,对于一些对该功能感兴
- 好几天没写文章了,这几天都在忙两个 * 局的网站。今天抽空写些关于长尾关键词在网站流量中的作用。“长尾”这个词来源于著名的长尾效应。所谓长尾效
- 最近在看腾讯新闻的时候,无意中发现,当我选中新闻中的文字的时候,鼠标右上角会显示一个“转播至微博”的按钮,点击后就会将选中的文字转发到微博上
- 通俗的说,虚拟主机是将一台(或者一组)服务器的资源(系统资源、网络带宽、存储空间等)按照一定的比例分割成若干台相对独立的&ldquo
- Cherokee 号称是目前最快的 Web 服务器软件,在性能上,甚至比 Nginx 还略胜一筹。与 Apache、Lighttp
- 一、序言现在很多网站对用户的访问权限进行了严格的限制,用户在访问某些资源时需要给出“用户名/口令"来确认自己的身份。目前,使用最多
- 今天是值得庆祝和纪念的一天,对于我个人以及亿玛客网络营销学院来说都算是。因为今天我在Chinaz上投稿那篇文章成首页头条新闻了,这是写博以来
- 我先谈一下我的就爱车(www.9aiche.com),这个站是我的站兼职做宣传和优化,我不太懂程序优化也不是很懂所以就边学边用了,我自已的站
- Windows可以通过网上邻居访问局域网主机,而在Linux下则可以通过Samba客户端访问局域网内的Windows主机,也可以通过Samb
- 初学Linux,首先需要弄清Linux 标准目录结构/root --- 启动Linux时使用的一些核心文件。如操作系统内核、引导程序Grub
- James( Java Apache Mail Enterprise Server )是Apache Jakarta项目的一个子项目,是使用
- 把日志安顿好之后,总结一下从PJBlog 搬家到 WordPress 的经验。首先感谢网友 NEO 陪我折腾,没有他的帮助我的搬家
- 据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:VB木马点击器变种ZWZ“(Trojan.Clicker.Win32.VB.z
- 谷歌百度谁更“搜”?孙琎谷歌和百度搜索引擎谁的搜索质量更好,这在互联网上一直是个争论的话题。只要进行搜索,就会发现有大批博客和机构曾用不同的
