安全监测系统的构建(chkrootkit)

[复制链接]
查看434 | 回复0 | 2012-4-1 19:24:07 | 显示全部楼层 |阅读模式
  所谓rootkit,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够总能够入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件chkrootkit来建立入侵监测系统,来保证对系统是否被安装了rootkit进行监测。
  chkrootkit在监测rootkit是否被安装的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将chkrootkit使用的系统命令也做修改,使得chkrootkit无法监测rootkit,从而达到即使系统安装了chkrootkit也无法检测出rootkit的存在,从而依然对系统有着控制的途径,而达到入侵的目的。那样的话,用chkrootkit构建入侵监测系统将失去任何意义。对此,我们在操作系统刚被安装之后,或者说服务器开放之前,让chkrootkit就开始工作。而且,在服务器开放之前,备份chkrootkit使用的系统命令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让chkrootkit使用初始备份的系统命令进行工作。
  安装chkrootkit

下载和安装chkrootkit工具
  安装chkrootkit

#wgethttp://down1.chinaunix.net/distfiles/chkrootkit-0.46a.tar.gz

#tarxfchkrootkit-0.46a.tar.gz

#cdchkrootkit-0.46a

#makesense//编译

#cd..

#cp-rchkrootkit-0.46a/usr/local/chkrootkit

#rm-rchkrootkit-0.46a
  测试chkrootkit

#cd/usr/local/chkrootkit

#./chkrootkit|grepINFECTED

#cd
  chkrootkit的监测自动化

#vichkrootkit←建立chkrootkit自动运行脚本

#!/bin/bash

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

#Runthechkrootkit

/usr/local/chkrootkit/chkrootkit>$TMPLOG

#Outputthelog

cat$TMPLOG|logger-tchkrootkit

#bindsheofSMTPSllHowtodosomewrongs

if[!-z"$(grep465$TMPLOG)"]&&\

[-z$(/usr/sbin/lsof-i:465|grepbindshell)];then

sed-i'/465/d'$TMPLOG

fi

#Iftherootkithavebeenfound,mailroot

[!-z"$(grepINFECTED$TMPLOG)"]&&\

grepINFECTED$TMPLOG|mail-s"chkrootkitreportin`hostname`"root

rm-f$TMPLOG

#chmod700chkrootkit←赋予脚本可被执行的权限

#mvchkrootkit/etc/cron.daily/←将脚本移动到每天自动运行的目录中
  chkrootkit相关的系统命令的备份

如前言所述,当chkrootkit使用的系统命令被入侵者更改后,chkrootkit对rootkit的监测将失效。所以,我们事前将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始命令,让chkrootkit对rootkit进行检测。

#mkdir/root/commands/←建立暂时容纳命令备份的目录

#cp`which--skip-aliasawkcutechoegrepfindheadidlsnetstatpsstringsseduname`/root/commands/←(连续输入无换行)备份系统命令到建立好的目录

#/usr/local/chkrootkit/chkrootkit-p/root/commands|grepINFECTED←用备份的命令运行chkrootkit

#tarcvf/root/commands.tar/root/commands/←将命令打包

#gzip/root/commands.tar←将打包的文件压缩

然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方

#rm-rfcommands*←为安全起见,删除服务器端备份的系统命令及相关文件
  如果以后想通过备份的原始系统命令来运行chkrootkit的时候,只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩,然后运行在chkrootkit的时候指定相应的目录即可。例如,假设已经将备份上传至root用户目录的情况如下:

#tarzxvf/root/commands.tar.gz←解开压缩的命令备份

#/usr/local/chkrootkit/chkrootkit-p/root/commands|grepINFECTED←用备份的命令运行chkrootkit
  然后在运行后删除相应遗留文件即可。

可查询官方网站:

http://www.chkrootkit.org/

 
*
*
发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则