不管是堵住后门，还是使用防火墙与杀毒软件，都只是一种防守策略。你一定还想反守为攻吧，下面就教你如何查出攻击者。 １.首先要立刻断开网络连接 入侵者控制了系统，往往得到的都是root权限，如果不把被入侵的主机从网络上断开，入侵者可能连入这台主机并破坏你所做的恢复工作。他们知道了管理员发现了自己，也可能会做出一些破坏性举动，诸如发出rm-rf / &等指令来彻底清除自己的罪证，为了防止这种情况发生，请先断开网络连接，并且启用备份域服务器。紧急情况下可以直接拔掉自己的网线，关掉相关的网络设备，如交换机和路由器等。 ２.复制一份被侵入系统的影像 进行入侵分析之前，建议你备份被侵入的系统。因为这对于证实入侵者的入侵行为、反击入侵者是十分有现时的状态、协助你的法律调查都是十分重要的。 以unix 系统为例，如果有一个相同大小和类型的硬盘，你就可以使用unix 命令dd将被侵入系统复制到这个硬盘。 例如，在一个有两个scsi硬盘的linux系统，以下命令将在相同大小和类型的备份硬盘（/dev/sdb）上复制被侵入系统（在/dev/sda盘上）的一个精确拷贝。 # dd if=/dev/sdaof=/dev/sdb 还有一些其他的方法备份被侵入的系统。在windows nt系统中没有类似于dd的内置命令，你可以使用一些工具软件复制被侵入系统的整个硬盘影像。 建立备份后，你还需要记录下备份的卷标、标志和日期，保存到一个安全的地方以保持数据的完整性。 ３. 进行入侵分析 现在你可以审查日志文件和系统配置文件以发现入侵者的蛛丝马迹了。这主要包括检查那些被入侵者修改过的文件、数据以及入侵者非法安装的软件。（１）检查入侵者对系统软件和配置文件的修改 校验系统中所有的二进制文件，在检查入侵者对系统软件和配置文件的修改时，一定要记住：你使用的校验工具本身可能已经被修改过，*作系统的内核也有可能被修改了。因此，建议你使用一个可信任的内核启动系统，而且你使用的所有分析工具都应该是干净的。对于unix系统，你可以通过建立一个启动盘，然后对其写保护来获得一个可以信赖的*作系统内核。 你应该彻底检查所有的系统二进制文件，把它们与原始发布介质（例如光盘）做比较。因为现在在互联网上到处都有大量的特洛伊木马二进制文件，攻击者随时可以下载并安装到你的系统中。例如，在unix系统上，通常有如下的二进制文件会被特洛伊木马代替：telnet、login、su
、ftp、ls、ps、netstat、ifconfig、find、du、df、libc、sync、inetd和syslogd。除此之外，你还需要检查所有被/etc/inetd.conf文件引用的文件、重要的网络和系统程序以及共享库文件。 在windowsnt系统上，特洛伊木马会取代处理网络连接的一些系统文件，例如back orifice和netbus。 另外，一些木马程序具有和原始二进制文件相同的时间戳和sum校验值，因此通过校验和无法判断文件是否被修改。所以对于unix系统，我们建议你使用cmp程序直接把系统中的二进制文件和原始发布介质上对应的文件进行比较。 你还可以选择另一种方法检查可疑的二进制文件。向供应商索取其发布的二进制文件的md5 校验值，然后使用md5校验值对可疑的二进制文件进行检查。