【www.bbyears.com--php安装】
linux系统中具有suid权限的文件,让人又爱又恨.suid带来的好处是可以在某些时候可以让user执行某些只能root执行的文件(如:passwd,ping,mount等),坏处就是万一这个suid的管理上有漏洞,就容易被有心人士利用,并控制主机.其实利用suid来提权,来放后门控制linux主机,在黑客界已经不是秘密,网上随便搜就能够搜到几篇文章,今天这里不讲怎么利用suid来攻击,只讲下怎么检查系统中的suid文件.
检查命令如下:
find / -perm +4000 -user root -type f -print
find / -perm +2000 -group root -type f -print
当然你也可以用下面的命令:
find / -uid 0 –perm -4000 –print
find / -type f -perm +6000
find / -path "/proc" -prune -or -perm -u+s -exec ls -l {} \;
以上这些命令都可以帮你检查,如果想定时检查,那么我推授下面的2个shell脚本,但这个有个小问题就是必须要你在新装的系统上先执行这2个命令:
find / -path "/proc" -prune -or -perm -u+s -exec ls -l {} \; > /tmp/suidlist-init
find / -type f -perm +6000 > /etc/sfilelist
然后才能定时使用这2个脚本:
cat /root/soft_shell/check-suid.sh
#!/bin/bash
OLD_LIST=/etc/sfilelist
for i in `find / -type f -perm +6000`
do
grep -F "$i" $OLD_LIST >/dev/null
[ $? -ne 0 ] && ls -lh $i
done
cat /root/soft_shell/checksuid.sh
#!/bin/bash
LOGFILE="/tmp/suidlist-`date +%Y-%m-%d`"
RESULTFILE="/tmp/suid_check_result-`date +%Y-%m-%d`"
find / -path "/proc" -prune -or -perm -u+s -exec ls -l {} \; > $LOGFILE
diff /tmp/suidlist-init "$LOGFILE" > $RESULTFILE
mutt -s "SUID CHECK RESULT" root < $RESULTFILE
然后定时计划里加入:
crontab -e
0 3 * * * /root/soft_shell/checksuid.sh
或者
0 3 * * * /root/soft_shell/check-suid.sh
这样就可以定时检查系统中suid文件了.