站长百科 | 数字化技能提升教程 数字化时代生存宝典
首页
数字化百科
电子书
建站程序
开发
服务器
办公软件
开发教程
服务器教程
软件使用教程
运营教程
热门电子书
WordPress教程
宝塔面板教程
CSS教程
Shopify教程
导航
程序频道
推广频道
网赚频道
人物频道
网站程序
网页制作
云计算
服务器
CMS
论坛
网店
虚拟主机
cPanel
网址导航
WIKI使用导航
WIKI首页
最新资讯
网站程序
站长人物
页面分类
使用帮助
编辑测试
创建条目
网站地图
站长百科导航
站长百科
主机侦探
IDCtalk云说
跨境电商导航
WordPress啦
站长专题
网站推广
网站程序
网站赚钱
虚拟主机
cPanel
网址导航专题
云计算
微博营销
虚拟主机管理系统
开放平台
WIKI程序与应用
美国十大主机
编辑“
CentOS/入侵监测系统的构建
”
人物百科
|
营销百科
|
网赚百科
|
站长工具
|
网站程序
|
域名主机
|
互联网公司
|
分类索引
跳转至:
导航
、
搜索
警告:
您没有登录。如果您做出任意编辑,您的IP地址将会公开可见。如果您
登录
或
创建
一个账户,您的编辑将归属于您的用户名,且将享受其他好处。
反垃圾检查。
不要
加入这个!
{{CentOS top}} 所谓rootkit,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够常时入侵系统,或者说对系统进行实时控制的途径。所以,我们用[[自由软件]][[chkrootkit]]来建立入侵监测系统,来保证对系统是否被安装了[[rootkit]]进行监测。 chkrootkit在监测rootkit是否被安装的过程中,需要使用到一些[[操作系统]]本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将chkrootkit使用的系统命令也做修改,使得chkrootkit无法监测rootkit,从而达到即使系统安装了chkrootkit 也无法检测出rootkit的存在,从而依然对系统有着控制的途径,而达到入侵的目的。 那样的话,用chkrootkit构建入侵监测系统将失去任何意义。 对此,我们在操作系统刚被安装之后,或者说[[服务器]]开放之前,让chkrootkit就开始工作。而且,在服务器开放之前,备份chkrootkit使用的系统命令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让chkrootkit使用初始备份的系统命令进行工作。 ==安装chkrootkit== 首先来下载和安装 chkrootkit 工具。 <pre>[root@sample ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ← 下载chkrootkit --03:05:31-- ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz => `chkrootkit.tar.gz' Resolving ftp.pangeia.com.br... 200.239.53.35 Connecting to ftp.pangeia.com.br|200.239.53.35|:21... connected. Logging in as anonymous ... Logged in! ==> SYST ... done. ==> PWD ... done. ==> TYPE I ... done. ==> CWD /pub/seg/pac ... done. ==> PASV ... done. ==> RETR chkrootkit.tar.gz ... done. Length: 37,140 (36K) (unauthoritative) 100%[====================================>] 37,140 5.67K/s ETA 00:00 03:05:46 (5.30 KB/s) - `chkrootkit.tar.gz' saved [37140] [root@sample ~]# tar zxvf chkrootkit.tar.gz ← 展开被压缩的源代码 [root@sample ~]# cd chkrootkit* ← 进入chkrootkit源代码的目录 [root@sample chkrootkit-0.46a]# make sense ← 编译 [root@sample chkrootkit-0.46a]# cd .. ← 返回上层目录 [root@sample ~]# cp -r chkrootkit-* /usr/local/chkrootkit ← 复制编译后文件所在的目录到指定位置 [root@sample ~]# rm -rf chkrootkit* ← 删除遗留的源代码目录及相关文件</pre> ==测试chkrootkit== 然后测试chkrootkit是否能够正常运行。 <pre>[root@sample ~]# cd /usr/local/chkrootkit ← 进入chkrootkit的目录 [root@sample chkrootkit]# ./chkrootkit | grep INFECTED ← 测试运行chkrootkit 稍等片刻…如果没有显示“INFECTED”字样,而直接出现命令行提示符,说明一切OK! [root@sample chkrootkit]# cd ← 回到root用户目录</pre> ==让chkrootkit的监测自动化== 用Shell Script编写一段[[脚本]],通过这个脚本让chkrootkit的监测自动化。如有rootkit被发现的时候,发送邮件通知root用户,并且将运行结果保存在/var/log/messages文件中。 <pre>[root@sample ~]# vi chkrootkit ← 建立chkrootkit自动运行脚本 #!/bin/bash PATH=/usr/bin:/bin TMPLOG=`mktemp` # Run the chkrootkit /usr/local/chkrootkit/chkrootkit > $TMPLOG # Output the log cat $TMPLOG | logger -t chkrootkit # bindshe of SMTPSllHow to do some wrongs if [ ! -z "$(grep 465 $TMPLOG)" ] && \ [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then sed -i '/465/d' $TMPLOG fi # If the rootkit have been found,mail root [ ! -z "$(grep INFECTED $TMPLOG)" ] && \ grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root rm -f $TMPLOG [root@sample ~]# chmod 700 chkrootkit ← 赋予脚本可被执行的权限 [root@sample ~]# mv chkrootkit /etc/cron.daily/ ← 将脚本移动到每天自动运行的目录中</pre> ==chkrootkit相关的系统命令的备份== 如前言所述,当chkrootkit使用的系统命令被入侵者更改后,chkrootkit对 rootkit的监测将失效。所以,我们事前将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始命令,让chkrootkit对 rootkit进行检测。 <pre>root@sample ~]# mkdir /root/commands/ ← 建立暂时容纳命令备份的目录 [root@sample ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/ ← (连续输入无换行)备份系统命令到建立好的目录 [root@sample ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit [root@sample ~]# tar cvf /root/commands.tar /root/commands/ ← 将命令打包 [root@sample ~]# gzip /root/commands.tar ← 将打包的文件压缩 然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方 [root@sample ~]# rm -rf commands* ← 为安全起见,删除服务器端备份的系统命令及相关文件</pre> 如果以后想通过备份的原始系统命令来运行chkrootkit的时候,只需用SCP[[软件]]将备份的命令打包压缩文件上传至服务器端已知位置并解压缩,然后运行在chkrootkit的时候指定相应的目录即可。例如,假设已经将备份上传至root用户目录的情况如下: <pre>[root@sample ~]# tar zxvf /root/commands.tar.gz ← 解开压缩的命令备份 [root@sample ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit </pre> 然后在运行后删除相应遗留文件即可。 ==参考来源== http://www.centospub.com/make/chkrootkit.html {{CentOS}} [[category:CentOS|R]]
摘要:
请注意,您对站长百科的所有贡献都可能被其他贡献者编辑,修改或删除。如果您不希望您的文字被任意修改和再散布,请不要提交。
您同时也要向我们保证您所提交的内容是您自己所作,或得自一个不受版权保护或相似自由的来源(参阅
Wordpress-mediawiki:版权
的细节)。
未经许可,请勿提交受版权保护的作品!
取消
编辑帮助
(在新窗口中打开)
本页使用的模板:
模板:CentOS
(
编辑
)
模板:CentOS top
(
编辑
)