设为首页
收藏本站
开启辅助访问
切换到宽版
登录
立即注册
只需一步,快速开始
首页
Portal
论坛
BBS
新鲜出炉
免费列表
联系我们
搜索
搜索
文章
安全
安全
统计
传奇版本
精品软件
传奇工具
水漫金山
传奇教程
福利经验
传奇技术
素材补丁
引擎帮助
网站程序
动画发布
开区工具
站点公告
传奇故事
站点版规
关于报毒
在线工具
违规处里
站点帮助
站务处理
本版
帖子
用户
传奇GM论坛
»
论坛
›
精品版本
›
微端版本
›
安全监测系统的构建(chkrootkit)
返回列表
发新帖
安全监测系统的构建(chkrootkit)
[复制链接]
434
|
0
|
2012-4-1 19:24:07
|
显示全部楼层
|
阅读模式
所谓rootkit,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够总能够入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件chkrootkit来建立入侵监测系统,来保证对系统是否被安装了rootkit进行监测。
chkrootkit在监测rootkit是否被安装的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将chkrootkit使用的系统命令也做修改,使得chkrootkit无法监测rootkit,从而达到即使系统安装了chkrootkit也无法检测出rootkit的存在,从而依然对系统有着控制的途径,而达到入侵的目的。那样的话,用chkrootkit构建入侵监测系统将失去任何意义。对此,我们在操作系统刚被安装之后,或者说服务器开放之前,让chkrootkit就开始工作。而且,在服务器开放之前,备份chkrootkit使用的系统命令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让chkrootkit使用初始备份的系统命令进行工作。
安装chkrootkit
下载和安装chkrootkit工具
安装chkrootkit
#wgethttp://down1.chinaunix.net/distfiles/chkrootkit-0.46a.tar.gz
#tarxfchkrootkit-0.46a.tar.gz
#cdchkrootkit-0.46a
#makesense//编译
#cd..
#cp-rchkrootkit-0.46a/usr/local/chkrootkit
#rm-rchkrootkit-0.46a
测试chkrootkit
#cd/usr/local/chkrootkit
#./chkrootkit|grepINFECTED
#cd
chkrootkit的监测自动化
#vichkrootkit←建立chkrootkit自动运行脚本
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
#Runthechkrootkit
/usr/local/chkrootkit/chkrootkit>$TMPLOG
#Outputthelog
cat$TMPLOG|logger-tchkrootkit
#bindsheofSMTPSllHowtodosomewrongs
if[!-z"$(grep465$TMPLOG)"]&&\
[-z$(/usr/sbin/lsof-i:465|grepbindshell)];then
sed-i'/465/d'$TMPLOG
fi
#Iftherootkithavebeenfound,mailroot
[!-z"$(grepINFECTED$TMPLOG)"]&&\
grepINFECTED$TMPLOG|mail-s"chkrootkitreportin`hostname`"root
rm-f$TMPLOG
#chmod700chkrootkit←赋予脚本可被执行的权限
#mvchkrootkit/etc/cron.daily/←将脚本移动到每天自动运行的目录中
chkrootkit相关的系统命令的备份
如前言所述,当chkrootkit使用的系统命令被入侵者更改后,chkrootkit对rootkit的监测将失效。所以,我们事前将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始命令,让chkrootkit对rootkit进行检测。
#mkdir/root/commands/←建立暂时容纳命令备份的目录
#cp`which--skip-aliasawkcutechoegrepfindheadidlsnetstatpsstringsseduname`/root/commands/←(连续输入无换行)备份系统命令到建立好的目录
#/usr/local/chkrootkit/chkrootkit-p/root/commands|grepINFECTED←用备份的命令运行chkrootkit
#tarcvf/root/commands.tar/root/commands/←将命令打包
#gzip/root/commands.tar←将打包的文件压缩
然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方
#rm-rfcommands*←为安全起见,删除服务器端备份的系统命令及相关文件
如果以后想通过备份的原始系统命令来运行chkrootkit的时候,只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩,然后运行在chkrootkit的时候指定相应的目录即可。例如,假设已经将备份上传至root用户目录的情况如下:
#tarzxvf/root/commands.tar.gz←解开压缩的命令备份
#/usr/local/chkrootkit/chkrootkit-p/root/commands|grepINFECTED←用备份的命令运行chkrootkit
然后在运行后删除相应遗留文件即可。
可查询官方网站:
http://www.chkrootkit.org/
*
*
发帖前要善用
【
论坛搜索
】
功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
飞尔
回复楼主
返回列表
图文推荐
传世1.994天元心法版,啸天虎,副本任务,珍宝阁奖励
2011-06-30
最新烟雨寒雪暴力来袭靓装四连击传奇版本,给力嚣张,傲世青龙(3K引擎)
2011-07-01
新注册会员无法接收到验证邮件问题及解决方法
2011-12-17
2011最新火爆3D真彩地图,1.96梦幻变身QQ三钻黄金皓月升级版(...
2011-06-20
2003复古蓝色飞刀我本沉默,倚天劈地,押镖系统,九绝剑魔(Her...
2012-03-30
热门排行
1
2003复古蓝色飞刀我本沉默,倚天劈地,押镖系统,九绝剑魔(Her...
2
超爽给力3D真彩韩版诸神灭佛中变版,皇冠至尊,天地归一(Her...
3
1.96紫仙刺影四钻元素轻变版,冰神皓月,黄金矿工,紫仙合成(...
4
独家四皇冠《救世主》3D真彩地图中变靓装版,终结者神地(H...
5
2012最新青龍白虎中变皇冠之神靓装版,龙神宝殿,白虎之都(H...
6
1.95龙战刺影神龙合击版,刺影之城,神龙之地,幽冥神盾(3k引擎)
7
New盟重新城暗杀来袭第八季武动乾坤,枯海神舰,斗气大陆(Ma...
8
1.76复古精品加强版,爵位封号,亡灵古墓,夺宝奇兵,精品神殿(Hero引擎)