入侵监测系统的构建
前 言
所谓 rootkit ,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够常时入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件 chkrootkit 来建立入侵监测系统,来保证对系统是否被安装了 rootkit 进行监测。
chkrootkit 在监测 rootkit 是否被安装的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将 chkrootkit 使用的系统命令也做修改,使得 chkrootkit 无法监测 rootkit ,从而达到即使系统安装了 chkrootkit 也无法检测出 rootkit 的存在,从而依然对系统有着控制的途径,而达到入侵的目的。那样的话,用 chkrootkit 构建入侵监测系统将失去任何意义。对此,我 们在操作系统刚被安装之后,或者说服务器开放之前,让 chkrootkit 就开始工作。而且,在服务器开放之前,备份 chkrootkit 使用的系统命 令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让 chkrootkit 使用初始备份的系统命令进行工作。
安装 chkrootkit
首先来下载和安装 chkrootkit 工具。
[root@sample ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ← 下载chkrootkit
--03:05:31-- ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
=> `chkrootkit.tar.gz'
Resolving ftp.pangeia.com.br... 200.239.53.35
Connecting to ftp.pangeia.com.br|200.239.53.35|:21... connected.
Logging in as anonymous ... Logged in!
==> SYST ... done. ==> PWD ... done.
==> TYPE I ... done. ==> CWD /pub/seg/pac ... done.
==> PASV ... done. ==> RETR chkrootkit.tar.gz ... done.
Length: 37,140 (36K) (unauthoritative)
100%[====================================>] 37,140 5.67K/s ETA 00:00
03:05:46 (5.30 KB/s) - `chkrootkit.tar.gz' saved [37140]
[root@sample ~]# tar zxvf chkrootkit.tar.gz ← 展开被压缩的源代码
[root@sample ~]# cd chkrootkit* ← 进入chkrootkit源代码的目录
[root@sample chkrootkit-0.46a]# make sense ← 编译
[root@sample chkrootkit-0.46a]# cd .. ← 返回上层目录
[root@sample ~]# cp -r chkrootkit-* /usr/local/chkrootkit ← 复制编译后文件所在的目录到指定位置
[root@sample ~]# rm -rf chkrootkit* ← 删除遗留的源代码目录及相关文件
测试 chkrootkit
然后测试 chkrootkit 是否能够正常运行。
[root@sample ~]# cd /usr/local/chkrootkit ← 进入chkrootkit的目录
[root@sample chkrootkit]# ./chkrootkit | grep INFECTED ← 测试运行chkrootkit
稍等片刻…如果没有显示“INFECTED”字样,而直接出现命令行提示符,说明一切OK!
[root@sample chkrootkit]# cd ← 回到root用户目录
让 chkrootkit 的监测自动化
用Shell Script编写一段脚本,通过这个脚本让chkrootkit的监测自动化。如有rootkit被发现的时候,发送邮件通知root用户,并且将运行结果保存在/var/log/messages文件中。
[root@sample ~]# vi chkrootkit ← 建立chkrootkit自动运行脚本
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
# Run the chkrootkit
/usr/local/chkrootkit/chkrootkit > $TMPLOG
# Output the log
cat $TMPLOG | logger -t chkrootkit
# bindshe of SMTPSllHow to do some wrongs
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
# If the rootkit have been found,mail root
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
rm -f $TMPLOG
[root@sample ~]# chmod 700 chkrootkit ← 赋予脚本可被执行的权限
[root@sample ~]# mv chkrootkit /etc/cron.daily/ ← 将脚本移动到每天自动运行的目录中
chkrootkit 相关的系统命令的备份
如前言所述,当chkrootkit使用的系统命令被入侵者更改后,chkrootkit对 rootkit的监测将失效。所以,我们事前将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始命令,让chkrootkit对 rootkit进行检测。
[root@sample ~]# mkdir /root/commands/ ← 建立暂时容纳命令备份的目录
[root@sample ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/ ← (连续输入无换行)备份系统命令到建立好的目录
[root@sample ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit
[root@sample ~]# tar cvf /root/commands.tar /root/commands/ ← 将命令打包
[root@sample ~]# gzip /root/commands.tar ← 将打包的文件压缩
然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方
[root@sample ~]# rm -rf commands* ← 为安全起见,删除服务器端备份的系统命令及相关文件
如果以后想通过备份的原始系统命令来运行chkrootkit的时候,只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩,然后运行在chkrootkit的时候指定相应的目录即可。例如,假设已经将备份上传至root用户目录的情况如下:
[root@sample ~]# tar zxvf /root/commands.tar.gz ← 解开压缩的命令备份
[root@sample ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit
然后在运行后删除相应遗留文件即可。
.
阅读(1086) | 评论(0) | 转发(0) |