Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3374205
  • 博文数量: 516
  • 博客积分: 5116
  • 博客等级: 大校
  • 技术积分: 4142
  • 用 户 组: 普通用户
  • 注册时间: 2006-09-30 11:24
个人简介

黑马王子就是我! 技术认证:系统分析师,网络规划设计师,网络工程师,信息系统监理师,系统集成项目管理师,初级程序员,MCSE,MCDBA,CCNA 目前主攻虚拟化技术,VPN,系统架构,集群和高可用性等。

文章分类

全部博文(516)

文章存档

2024年(1)

2023年(11)

2022年(17)

2021年(19)

2020年(28)

2019年(42)

2018年(53)

2017年(41)

2016年(33)

2015年(43)

2014年(25)

2013年(13)

2011年(6)

2010年(28)

2009年(47)

2008年(55)

2007年(26)

2006年(28)

分类: LINUX

2010-10-18 14:17:49

所谓rootkit,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工 具,入侵者建立了一条能够总能够入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件chkrootkit来建立入侵监测系统,来保证对系统 是否被安装了rootkit进行监测。

  chkrootkit在监测rootkit是否被安装的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将 chkrootkit使用的系统命令也做修改,使得chkrootkit无法监测rootkit,从而达到即使系统安装了chkrootkit也无法检测 出rootkit的存在,从而依然对系统有着控制的途径,而达到入侵的目的。那样的话,用chkrootkit构建入侵监测系统将失去任何意义。对此,我 们在操作系统刚被安装之后,或者说服务器开放之前,让chkrootkit就开始工作。而且,在服务器开放之前,备份chkrootkit使用的系统命 令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让chkrootkit使用初始备份的系统命令进行工作。

  安装 chkrootkit

  下载和安装 chkrootkit 工具 [root@localhost ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ← 下载chkrootkit

  --03:05:31-- ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

  => `chkrootkit.tar.gz'

  Resolving ftp.pangeia.com.br... 200.239.53.35

  Connecting to ftp.pangeia.com.br|200.239.53.35|:21... connected.

  Logging in as anonymous ... Logged in!

  ==> SYST ... done. ==> PWD ... done.

  ==> TYPE I ... done. ==> CWD /pub/seg/pac ... done.

  ==> PASV ... done. ==> RETR chkrootkit.tar.gz ... done.

  Length: 37,140 (36K) (unauthoritative)

  100%[====================================>] 37,140 5.67K/s ETA 00:00

  03:05:46 (5.30 KB/s) - `chkrootkit.tar.gz' saved [37140]

  [root@localhost ~]# tar zxvf chkrootkit.tar.gz← 展开被压缩的源代码

  [root@localhost ~]# cd chkrootkit*← 进入chkrootkit源代码的目录

  [root@localhost chkrootkit-0.46a]# make sense← 编译

  [root@localhost chkrootkit-0.46a]# cd ..← 返回上层目录

  [root@localhost ~]# cp -r chkrootkit-* /usr/local/chkrootkit← 复制编译后文件所在的目录到指定位置

  [root@localhost ~]# rm -rf chkrootkit*← 删除遗留的源代码目录及相关文件

  测试 chkrootkit

  然后测试 chkrootkit 是否能够正常运行。 [root@localhost ~]# cd /usr/local/chkrootkit← 进入chkrootkit的目录

  [root@localhost chkrootkit]# ./chkrootkit | grep INFECTED← 测试运行chkrootkit

  稍等片刻…如果没有显示“INFECTED”字样,而直接出现命令行提示符,说明一切OK!

  [root@localhost chkrootkit]# cd← 回到root用户目录

  让 chkrootkit 的监测自动化

  用Shell Script编写一段脚本,通过这个脚本让chkrootkit的监测自动化。如有rootkit被发现的时候,发送邮件通知root用户,并且将运行结果保存在/var/log/messages文件中。 [root@localhost ~]# vi chkrootkit← 建立chkrootkit自动运行脚本

  #!/bin/bash

  PATH=/usr/bin:/bin

  TMPLOG=`mktemp`

  # Run the chkrootkit

  /usr/local/chkrootkit/chkrootkit > $TMPLOG

  # Output the log

  cat $TMPLOG | logger -t chkrootkit

  # bindshe of SMTPSllHow to do some wrongs

  if [ ! -z "$(grep 465 $TMPLOG)" ] && \

  [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then

  sed -i '/465/d' $TMPLOG

  fi

  # If the rootkit have been found,mail root

  [ ! -z "$(grep INFECTED $TMPLOG)" ] && \

  grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

  rm -f $TMPLOG

  [root@localhost ~]# chmod 700 chkrootkit← 赋予脚本可被执行的权限

  [root@localhost ~]# mv chkrootkit /etc/cron.daily/← 将脚本移动到每天自动运行的目录中

  chkrootkit 相关的系统命令的备份

  如前言所述,当chkrootkit使用的系统命令被入侵者更改后,chkrootkit对 rootkit的监测将失效。所以,我们事前将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始命令,让chkrootkit 对 rootkit进行检测。 [root@localhost ~]# mkdir /root/commands/← 建立暂时容纳命令备份的目录

  [root@localhost ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/ ← (连续输入无换行)备份系统命令到建立好的目录

  [root@localhost ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED← 用备份的命令运行chkrootkit

  [root@localhost ~]# tar cvf /root/commands.tar /root/commands/ ← 将命令打包

  [root@localhost ~]# gzip /root/commands.tar← 将打包的文件压缩

  然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方

  [root@localhost ~]# rm -rf commands*← 为安全起见,删除服务器端备份的系统命令及相关文件

  如果以后想通过备份的原始系统命令来运行chkrootkit的时候,只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩,然后运行在chkrootkit的时候指定相应的目录即可。例如,假设已经将备份上传至root用户目录的情况如下: [root@localhost ~]# tar zxvf /root/commands.tar.gz← 解开压缩的命令备份

  [root@localhost ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit

  然后在运行后删除相应遗留文件即可。

阅读(1531) | 评论(1) | 转发(0) |
给主人留下些什么吧!~~

chinaunix网友2010-10-18 15:24:48

很好的, 收藏了 推荐一个博客,提供很多免费软件编程电子书下载: http://free-ebooks.appspot.com