Учетные записи пользователей
Еще одна группа признаков, свидетельствующих о деятельности хакера, связана с учетными записями пользователей. Новые учетные записи, любые изменения в содержимом файла passwd, необычно высокая активность пользователей, отраженная в файлах протоколов, либо полное отсутствие таковой, неожиданные изменения в файлах, принадлежащих пользователям, в особенности в файлах, определяющих окружение, могут свидетельствовать о недопустимой деятельности в системе.
Новые и модифицированные учетные записи. Признаком появления новой учетной записи является изменение файла /etc/passwd и наличие в системе процесса, запущенного от имени пользователя, с неизвестным ранее идентификационным номером. Отсутствие пароля в файле passwd позволяет любому пользователю применять данную учетную запись для регистрации.
Записи о регистрации пользователей. Записи в файлах протоколов, свидетельствующие о регистрации пользователя в необычное для него время, отсутствующие либо измененные файлы протоколов (в частности, файлы /var/log/lastlog, var/log/pacct или /var/log/usracct) должны насторожить системного администратора.
Изменения в окружении пользователей. Серьезным поводом для беспокойства является изменение окружения пользователей, в особенности пользователя root. Чрезвычайно опасны изменения в файлах . rhost и . forward, а также модификация значения переменной окружения PATH.
P.S. Не успели купить к учебному году школьные принадлежности, к примеру школьный пенал , на сайте fi-hi.ru вы сможете найти отличный пенал для школьника. Представлен широкий выбор пеналов со множеством функций, к примеру с гнездом для подключения mp3 плеера, iPod.
Потеря доступа в систему. Несомненным признаком незаконного вмешательства является изменение пароля в файле passwd, в результате чего пользователь не может зарегистрироваться в системе. Кроме изменения пароля, взломщик может удалить учетную запись либо пытаться перевести систему в однопользовательский режим.