自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

入侵監(jiān)測系統(tǒng)的構(gòu)建(chkrootkit)

作者:佚名
安全 網(wǎng)站安全
所謂rootkit,是一類入侵者經(jīng)常使用的工具。這類工具通常非常的隱秘、令用戶不易察覺,通過這類工 具,入侵者建立了一條能夠總能夠入侵系統(tǒng),或者說對系統(tǒng)進(jìn)行實(shí)時(shí)控制的途徑。所以,我們用自由軟件chkrootkit來建立入侵監(jiān)測系統(tǒng),來保證對系統(tǒng) 是否被安裝了rootkit進(jìn)行監(jiān)測。

所謂rootkit,是一類入侵者經(jīng)常使用的工具。這類工具通常非常的隱秘、令用戶不易察覺,通過這類工 具,入侵者建立了一條能夠總能夠入侵系統(tǒng),或者說對系統(tǒng)進(jìn)行實(shí)時(shí)控制的途徑。所以,我們用自由軟件chkrootkit來建立入侵監(jiān)測系統(tǒng),來保證對系統(tǒng) 是否被安裝了rootkit進(jìn)行監(jiān)測。

chkrootkit在監(jiān)測rootkit是否被安裝的過程中,需要使用到一些操作系統(tǒng)本身的命令。但不排除一種情況,那就是入侵者有針對性的已經(jīng)將  chkrootkit使用的系統(tǒng)命令也做修改,使得chkrootkit無法監(jiān)測rootkit,從而達(dá)到即使系統(tǒng)安裝了chkrootkit也無法檢測 出rootkit的存在,從而依然對系統(tǒng)有著控制的途徑,而達(dá)到入侵的目的。那樣的話,用chkrootkit構(gòu)建入侵監(jiān)測系統(tǒng)將失去任何意義。對此,我 們在操作系統(tǒng)剛被安裝之后,或者說服務(wù)器開放之前,讓chkrootkit就開始工作。而且,在服務(wù)器開放之前,備份chkrootkit使用的系統(tǒng)命 令,在一些必要的時(shí)候(懷疑系統(tǒng)命令已被修改的情況等等),讓chkrootkit使用初始備份的系統(tǒng)命令進(jìn)行工作。

安裝 chkrootkit

首先來下載和安裝 chkrootkit 工具。

[root@localhost ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ← 下載chkrootkit

--03:05:31-- ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
=> `chkrootkit.tar.gz'
Resolving ftp.pangeia.com.br... 200.239.53.35
Connecting to ftp.pangeia.com.br|200.239.53.35|:21... connected.
Logging in as anonymous ... Logged in!
==> SYST ... done. ==> PWD ... done.
==> TYPE I ... done. ==> CWD /pub/seg/pac ... done.
==> PASV ... done. ==> RETR chkrootkit.tar.gz ... done.
Length: 37,140 (36K) (unauthoritative) 

100%[====================================>] 37,140 5.67K/s ETA 00:00

03:05:46 (5.30 KB/s) - `chkrootkit.tar.gz' saved [37140]

[root@localhost ~]# tar zxvf chkrootkit.tar.gz  ← 展開被壓縮的源代碼

[root@localhost ~]# cd chkrootkit*  ← 進(jìn)入chkrootkit源代碼的目錄

[root@localhost chkrootkit-0.46a]# make sense  ← 編譯

[root@localhost chkrootkit-0.46a]# cd ..  ← 返回上層目錄

[root@localhost ~]# cp -r chkrootkit-* /usr/local/chkrootkit  ← 復(fù)制編譯后文件所在的目錄到指定位置

[root@localhost ~]# rm -rf chkrootkit*  ← 刪除遺留的源代碼目錄及相關(guān)文件

測試 chkrootkit
然后測試 chkrootkit 是否能夠正常運(yùn)行

[root@localhost ~]# cd /usr/local/chkrootkit  ← 進(jìn)入chkrootkit的目錄

[root@localhost chkrootkit]# ./chkrootkit | grep INFECTED  ← 測試運(yùn)行chkrootkit
稍等片刻…如果沒有顯示“INFECTED”字樣,而直接出現(xiàn)命令行提示符,說明一切OK!

[root@localhost chkrootkit]# cd   ← 回到root用戶目錄

讓 chkrootkit 的監(jiān)測自動(dòng)化

用Shell Script編寫一段腳本,通過這個(gè)腳本讓chkrootkit的監(jiān)測自動(dòng)化。如有rootkit被發(fā)現(xiàn)的時(shí)候,發(fā)送郵件通知root用戶,并且將運(yùn)行結(jié)果保存在/var/log/messages文件中。
[root@localhost ~]# vi chkrootkit  ← 建立chkrootkit自動(dòng)運(yùn)行腳本

#!/bin/bash 

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

# Run the chkrootkit
/usr/local/chkrootkit/chkrootkit > $TMPLOG

# Output the log
cat $TMPLOG | logger -t chkrootkit

# bindshe of SMTPSllHow to do some wrongs
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi

# If the rootkit have been found,mail root
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

rm -f $TMPLOG

[root@localhost ~]# chmod 700 chkrootkit  ← 賦予腳本可被執(zhí)行的權(quán)限

[root@localhost ~]# mv chkrootkit /etc/cron.daily/  ← 將腳本移動(dòng)到每天自動(dòng)運(yùn)行的目錄中

chkrootkit 相關(guān)的系統(tǒng)命令的備份

如前言所述,當(dāng)chkrootkit使用的系統(tǒng)命令被入侵者更改后,chkrootkit對  rootkit的監(jiān)測將失效。所以,我們事前將chkrootkit使用的系統(tǒng)命令進(jìn)行備份,在需要的時(shí)候使用備份的原始命令,讓chkrootkit 對 rootkit進(jìn)行檢測。

[root@localhost ~]# mkdir /root/commands/  ← 建立暫時(shí)容納命令備份的目錄

[root@localhost ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/  ← (連續(xù)輸入無換行)備份系統(tǒng)命令到建立好的目錄 

[root@localhost ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED  ← 用備份的命令運(yùn)行chkrootkit

[root@localhost ~]# tar cvf /root/commands.tar /root/commands/ ← 將命令打包

[root@localhost ~]# gzip /root/commands.tar  ← 將打包的文件壓縮
然后將壓縮后的commands.tar.gz用SCP軟件下載到安全的地方

[root@localhost ~]# rm -rf commands*   ← 為安全起見,刪除服務(wù)器端備份的系統(tǒng)命令及相關(guān)文件

 

如果以后想通過備份的原始系統(tǒng)命令來運(yùn)行chkrootkit的時(shí)候,只需用SCP軟件將備份的命令打包壓縮文件上傳至服務(wù)器端已知位置并解壓縮,然后運(yùn)行在chkrootkit的時(shí)候指定相應(yīng)的目錄即可。例如,假設(shè)已經(jīng)將備份上傳至root用戶目錄的情況如下:

然后在運(yùn)行后刪除相應(yīng)遺留文件即可。

責(zé)任編輯:Oo小孩兒 來源: linuxeden.com
入侵監(jiān)測系統(tǒng)安全
相關(guān)推薦

2011-11-21 09:57:47

2012-10-10 11:36:02

2010-12-21 18:09:48

2011-10-28 16:03:06

2009-11-11 10:38:11

2010-12-28 11:17:50

chkrootkitrootkit檢測器

2009-09-04 10:21:00

2009-07-29 22:18:46

2010-05-11 18:03:28

2010-05-26 16:13:54

入侵檢測系統(tǒng)部署IDS

2023-08-10 17:14:13

2009-12-24 17:50:43

曙光海洋監(jiān)測系統(tǒng)

2009-11-11 10:35:04

2010-08-25 14:58:37

2010-08-26 09:12:01

2009-01-11 12:12:41

2009-10-15 09:55:48

2011-06-03 22:13:34

2011-03-04 13:17:51

2009-05-15 17:23:56

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號