linux系统中具有suid权限的文件,让人又爱又恨.suid带来的好处是可以在某些时候可以让user执行某些只能root执行的文件(如:passwd,ping,mount等),坏处就是万一这个suid的管理上有漏洞,就容易被有心人士利用,并控制主机.其实利用suid来提权,来放后门控制linux主机,在黑客界已经不是秘密,网上随便搜就能够搜到几篇文章,今天这里不讲怎么利用suid来攻击,只讲下怎么检查系统中的suid文件.
检查命令如下:
|
1 |
find / -perm +4000 -user root -type f -print |
|
2 |
find / -perm +2000 -group root -type f -print |
当然你也可以用下面的命令:
|
1 |
find / -uid 0 –perm -4000 –print |
|
2 |
find / -type f -perm +6000 |
|
3 |
find / -path '/proc' -prune -or -perm -u+s -exec ls -l {} \; |
以上这些命令都可以帮你检查,如果想定时检查,那么我推授下面的2个shell脚本,但这个有个小问题就是必须要你在新装的系统上先执行这2个命令:
|
1 |
find / -path '/proc' -prune -or -perm -u+s -exec ls -l {} \; > /tmp/suidlist-init |
|
2 |
find / -type f -perm +6000 > /etc/sfilelist |
然后才能定时使用这2个脚本:
cat /root/soft_shell/check-suid.sh
|
2 |
OLD_LIST=/etc/sfilelist |
|
3 |
for i in `find / -type f -perm +6000` |
|
5 |
grep -F "$i" $OLD_LIST >/dev/null |
|
6 |
[ $? -ne 0 ] && ls -lh $i |
cat /root/soft_shell/checksuid.sh
|
2 |
LOGFILE="/tmp/suidlist-`date +%Y-%m-%d`" |
|
3 |
RESULTFILE="/tmp/suid_check_result-`date +%Y-%m-%d`" |
|
5 |
find / -path '/proc' -prune -or -perm -u+s -exec ls -l {} \; > $LOGFILE |
|
6 |
diff /tmp/suidlist-init "$LOGFILE" > $RESULTFILE |
|
8 |
mutt -s "SUID CHECK RESULT" root < $RESULTFILE |
然后定时计划里加入:
crontab -e
0 3 * * * /root/soft_shell/checksuid.sh
或者
0 3 * * * /root/soft_shell/check-suid.sh
这样就可以定时检查系统中suid文件了.
(责任编辑:IT) |
