如何發現入侵者
系統被入侵而全無知曉恐怕是最糟糕的事情了，下面就將以UNIX系統為例告訴你如何在分析網 絡異常現象的基礎上確定你的網路系統是否有入侵者。

異常的訪問日誌
入侵者在入侵並控制系統之前，往往會用掃描工具或者手動掃描的方法來探測系統，以獲取更 多的資訊。而這種掃描行為都會被系統服務日誌記錄下來。比如：一個IP連續多次出現在系統的各 種服務日誌中，並試圖越漏洞；又如一個IP連續多次在同一系統多個服務建立了空連接，這很有可 能是入侵者在搜集某個服務的版本資訊。

注意！在 UNIX 作業系統中如果有人訪問了系統不必要的服務或者有嚴重安全隱患的服務比如 ：finger、rpc；或者在 Telnet、FTP、POP3 等服務日誌中連續出現了大量的連續性失敗登錄記錄 ，則很有可能是入侵者在嘗試猜測系統的密碼。這些都是攻擊的前兆！

網路流量增大
如果發現伺服器的訪問流量突然間增大了許多，這就預示著你的系統有可能已經被入侵者控制 ，並被入侵用來掃描和攻擊其他的伺服器。事實證明，許多入侵者都是利用仲介主機對遠端主機進 行掃描並找出安全性漏洞，然後再進行攻擊的。而這些行為都會造成網路流量突然增大。

非法訪問
如果你發現某個用戶試圖存取控制並修改/etc/shadow、系統日誌和系統設定檔，那麼很有可 能這個用戶已經被入侵者控制，並且試圖奪取更高的許可權。

正常服務終止
比如系統的日誌服務突然奇怪的停掉，或你的IDS程式突然終止，這都暗示著入侵者試圖要停掉 這些有威脅的服務，以避免在系統日誌上留下「痕跡」。

可疑的進程或非法服務的出現
系統中任何可疑的進程都應該仔細檢查，比如以root啟動的http服務，或系統中本來關閉的服 務又重新被啟動。這些可疑進程和服務都有可能是入侵者啟動的攻擊進程、後門進程或Sniffer進程 。

系統檔或使用者
入侵者通常會更改系統中的設定檔來逃避追查，或者載入後門、攻擊程式之類的軟體以方便 下次進入。比如對於UNIX而言，入侵者或修改syslog.conf檔以去掉secure的條目來躲避login後 門的審計，或修改hosts.deny、hosts.allow來解除tcpwrapper對入侵者IP的過濾；甚至增加一個條 目在rc.d裡面，以便系統啟動的時候同時啟動後門程式。所以被非法修改的系統檔或莫明其妙地 增加了一個用戶等一些現象都意味著你的系統很可能被入侵者控制了。

可疑的數據
系統如果發現了命名為諸如空格、點點加空格、「..^M」（點點ctrl+M）、「...」（點點點） 等可疑的目錄，就需要留心了，因為入侵者經常在這樣的目錄中使用和隱藏檔，如有些目錄裡面 可能會（特別是/tmp目錄中）出現掃描器產生的暫存檔案。

（此篇文章為網路轉載，如有冒犯，請來信告知，當即刻移除！）