文档介绍：UNIX系统管理-系统安全-被攻击之后怎么办
系统漏洞是无所不在的,一旦没有及时的修补你的系统,则系统很可能被外来的非法闯入者攻破。在攻破之后应该怎么做呢?
这时系统管理员首先应该做的是面对肇事用户。如果该用户所做的不是蓄意的,而且也没有关于“破坏安全”的规章,未造成损坏,则系统管理员只需要清理系统,并留心该用户一段时间。如果该用户造成了某些损坏,则应当报告有关人士,并且尽可能地将系统恢复到原来的状态。如果肇事者是非授权用户,那就得做最坏的假设了,则肇事者已经设法成为了root,并且本系统的文件和程序已经泄密了。系统管理员应当想法查出谁是肇事者,他造成了什么损坏;还应当对整个文件做一次全面的检查,并不只是检查SUID,SGID和设备文件。如果系统安全被一个敌对的用户破坏了,应当采用下面的步骤:
1.关闭系统,然后重新引导,不要进入多用户方式,而是进入单用户方式。
2.安装含有本系统原始UNIX版本的光盘和软盘。
3.将原始系统的/bin,/usr/bin,/etc,/usr/lib中的文件拷贝到某个暂存目录中。
4.将暂存目录中所有文件的校验和(用原始版本的sum程序做校验和,不要用/bin中的sum程序做)与系统中所有对旧的文件的校验和进行比较,如果有任何差别,要查清差别产生的原因。如果两个校验和不同,是由于安装了新版本的程序,确认一下是否的确是安装了新版本程序。如果不能找出校验和不同的原因,用暂存目录中的命令替换系统中原有的命令。
5.在确认系统的命令未被篡改之前,不要用旧系统中的命令。用暂存目录中的shell,并且将PATH设置为仅在暂存目录中搜索命令。
6.根据所有系统目录的存取权限许可,检查系统中所有命令的存取许可。
7.检查所有系统目录的存取许可,如果用了perms,检查permlist文件是否被篡改过。
8.如果系统UNIX的校验和不同于原版的校验和,并且系统管理员从未修改过核心,则应当认为,这个非法用户“很能干”,从暂存缓冲区重新装入系统。系统管理员可以从逐步增加的文件系统备份