标签:linux 运维安全
Linux 后门入侵检测工具:
(1 )先简单介绍一种木马
rootkit 是木马后门工具,说白了就是木马病毒。它比普通木马更加危险,而且隐藏隐蔽。它主要是把你系统的文件,替换成它的文件。表面上还是你的文件,实际上已经不是了。所以非常危险。
rootkit有2种类型,文件级别 和 内核级别。(呵呵,病毒也是分门别派的,就像武侠剧,丐帮也分为污衣派 和 净衣派)
污衣派(文件级别rootkit): 污衣派比较简单,就是利用程序漏洞或者系统漏洞进入系统后,修改系统的重要文件来达到自己的目的。说白了,就是把系统的重要职位,换成污衣派的人,表面上还是管理员的人,实际上已经变了。 通常容易被污衣派替换的系统程序有 login , ls , ps , ifconfig , du , find , netstat 等。
预防污衣派,有效方法是定期对系统重要文件的完整性进行检查。怎么检查?检查什么? 就是用工具检查一下你的文件是否被修改或者替换了,是不是原来的文件等。如果发现被修改或者替换了,那么就说明系统已经遭受污衣派的入侵了。检测文件完整性的工具有很多,比如Tripwire , aide 等。
净衣派(内核级别rootkit): 之所以被称为净衣派,就是因为干净。干的是技术活,身上的灰尘少。
净衣派主要依附在内核上,不对系统文件做任何修改。一般的检测工具难以检测到它。 比如,用户要运行程序A,被净衣派入侵的系统会假装运行A,实际上运行B . 太可怕了。现在对净衣派的防御,还没有太好的工具,只能将系统维持在最小权限内工作,只要攻击者不能获取root权限,就无法在内核中植入rootkit,即就不能在内核中安插自己的人。
(2) 木马介绍完了,现在来介绍对付木马的一种工具,叫 chkrootkit .
chkrootkit 是LINUX 系统下查找并检测 rootkit 后门的一种工具。它的官方网站是: http://www.chkrootkit.org. chkrootkit 没有包含在官方的CentOS源中,因此采取手动编译的方法来安装。
我这里把rootkit比作丐帮,那么我把chkrootkit比作特工,因为我们知道,特工是很厉害的。
安装特工(chkrootkit) :
环境: CENTOS系统 (不同系统可能会不太一样,最好是centos,redhat 可能会报错)
1. # yum -y install gcc
# yum -y install gcc-c++
# yum -y install make
2.为了安全,最好从官方网站下载chkrootkit,下载完成后,进行下面步骤:
# tar -zxvf chkrootkit.tar.gz //解压文件
# cd chkrootkit-*
# make sense //你没有看错,就是make sense !
# cd .. //返回到上一层
# cp -r chkrootkit-* /usr/local/chkrootkit //复制文件到另一个地方,-r是递归复制
# rm -rf chkrootkit-* //因为刚才已经复制了文件了,现在可以删除了。
到此安装完成!
(3) 用特工(chkrootkit)
# /usr/local/chkrootkit/chkrootkit -h //-h 是帮助,列出各种参数,-q 是安静模式,只列出有问题的内容,-p 是检测时使用系统命令的目录
Checking `ifconfig` ... INFECTED //这个单词是被感染
Checking `sshd ` ... not infected //没有被感染
总结:如果被感染了,最好的方法就是备份数据,然后重新安装操作系统。
补充一个非常重要的知识点: 特工(chkrootkit ) 在检查 丐帮 (rootkit )的过程中,也使用了部分系统命令,所以,如果服务器已经被丐帮入侵,系统里都是丐帮的人,就是所有的命令都是丐帮的人,那么chkrootkit的检测结果也就不可靠了。 为了避免这个问题,在服务器对外开放之前,先将chkrootkit使用的命令进行备份,在需要的时候,让备份的命令对rootkit 进行检测。 怎么备份呢?下面是过程:
# mkdir /usr/shareing/.mingling //mingling前面有一个点,是隐藏目录,不让黑客发现
# cp ` which --skip-alias awk cut echo find egrep id head ls netstat ps ssh strings sed uname ` /usr/shareing/.mingling //把特工(chkrootkit)可能用到的命令,提前先做备份。
# /usr/local/chkrootkit/chkrootkit -p /usr/shareing/.mingling //-p是检测时用到系统命令的目录
# tar -zcvf mingling.tar.gz /usr/shareing/.mingling //可以把这个隐藏目录打包,用U盘烤出来,放到一个安全的地方。如果服务器遭受入侵,可以上传到服务器上,进行检测。
# rm -rf mingling.tar.gz //用U盘拷出来后,可以删除了。
本文出自 “8174069” 博客,请务必保留此出处http://8184069.blog.51cto.com/8174069/1717916
标签:linux 运维安全
原文地址:http://8184069.blog.51cto.com/8174069/1717916