9.1 如何发现入侵者 系统被入侵而全无知晓恐怕是最糟糕的事情了，下面就将以unix系统为例告诉你如何在分析网络异常现象的基础上确定你的网络系统是否有入侵者。１. 异常的访问日志 入侵者在入侵并控制系统之前，往往会用扫描工具或者手动扫描的方法来探测系统，以获取更多的信息。而这种扫描行为都会被系统服务日志记录下来。比如：一个ip连续多次出现在系统的各种服务日志中，并试图越漏洞；又如一个ip连续多次在同一系统多个服务建立了空连接，这很有可能是入侵者在搜集某个服务的版本信息。 注意！在 unix *作系统中如果有人访问了系统不必要的服务或者有严重安全隐患的服务比如：finger、rpc；或者在telnet、ftp、pop3 等服务日志中连续出现了大量的连续性失败登录记录，则很有可能是入侵者在尝试猜测系统的密码。这些都是攻击的前兆！ 2.网络流量增大 如果发现服务器的访问流量突然间增大了许多，这就预示着你的系统有可能已经被入侵者控制，并被入侵用来扫描和攻击其他的服务器。事实证明，许多入侵者都是利用中介主机对远程主机进行扫描并找出安全漏洞，然后再进行攻击的。而这些行为都会造成网络流量突然增大。 3. 非法访问如果你发现某个用户试图访问控制并修改/etc/shadow、系统日志和系统配置文件，那么很有可能这个用户已经被入侵者控制，并且试图夺取更高的权限。 4. 正常服务终止比如系统的日志服务突然奇怪的停掉，或你的ids程序突然终止，这都暗示着入侵者试图要停掉这些有威胁的服务，以避免在系统日志上留下“痕迹”。5. 可疑的进程或非法服务的出现系统中任何可疑的进程都应该仔细检查，比如以root启动的http服务，或系统中本来关闭的服务又重新被启动。这些可疑进程和服务都有可能是入侵者启动的攻击进程、后门进程或sniffer进程。6. 系统文件或用户 入侵者通常会更改系统中的配置文件来逃避追查，或者加载后门、攻击程序之类的软件以方便下次进入。比如对于unix而言，入侵者或修改syslog.conf文件以去掉secure的条目来躲避login后门的审计，或修改hosts.deny、hosts.allow来解除tcpwrapper对入侵者ip的过滤；甚至增加一个条目在rc.d里面，以便系统启动的时候同时启动后门程序。所以被非法修改的系统文件或莫明其妙地增加了一个用户等一些现象都意味着你的系统很可能被入侵者控制了。 7. 可疑的数据 系统
如果发现了命名为诸如空格、点点加空格、“..^m”（点点ctrl+m）、“...”（点点点）等可疑的目录，就需要留心了，因为入侵者经常在这样的目录中使用和隐藏文件，如有些目录里面可能会（特别是/tmp目录中）出现扫描器产生的临时文件。