黑客入侵你Linux服务器的一万种玩法...(5)

lrwxrwxrwx 1 root root 0 Oct  4 22:09 /proc/13276/exe -> /usr/sbin/sshd 

这样就找到了进程对应的完整执行路径。如果还要查看文件的句柄，可以查看如下目录：

[root@server ~]# ls -al /proc/13276/fd 

通过这种方式基本可以找到任何进程的完整执行信息。

⑤检查文件系统的完好性

检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法，例如可以检查被入侵服务器上 /bin/ls 文件的大小是否与正常系统上此文件的大小相同，以验证文件是否被替换，但是这种方法比较低级。

此时可以借助于 Linux 下 rpm 这个工具来完成验证，操作如下：

[root@server ~]# rpm -Va 

....L...  c /etc/pam.d/system-auth 

S.5.....  c /etc/security/limits.conf 

S.5....T  c /etc/sysctl.conf 

S.5....T    /etc/sgml/docbook-simple.cat 

S.5....T  c /etc/login.defs 

S.5.....  c /etc/openldap/ldap.conf 

S.5....T  c /etc/sudoers 

⑥重新安装系统恢复数据

很多情况下，被攻击过的系统已经不再可信任，因此，最好的方法是将服务器上面数据进行备份，然后重新安装系统，最后再恢复数据即可。

数据恢复完成，马上对系统做上面介绍的安全加固策略，保证系统安全。

作者：高俊峰

（编辑：ASP站长网）