入侵监测系统的构建( chkrootkit )
2011-02-25 13:22
351 查看
|
chkrootkit 在监测 rootkit 是否被安装的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将 chkrootkit 使用的系统命令也做修改,使得 chkrootkit 无法监测 rootkit ,从而达到即使系统安装了 chkrootkit 也无法检测出 rootkit 的存在,从而依然对系统有着控制的途径,而达到入侵的目的。那样的话,用 chkrootkit 构建入侵监测系统将失去任何意义。对此,我 们在操作系统刚被安装之后,或者说服务器开放之前,让 chkrootkit 就开始工作。而且,在服务器开放之前,备份 chkrootkit 使用的系统命 令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让 chkrootkit 使用初始备份的系统命令进行工作。
|
[root@sample ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ← 下载chkrootkit --03:05:31-- ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz => `chkrootkit.tar.gz' Resolving ftp.pangeia.com.br... 200.239.53.35 Connecting to ftp.pangeia.com.br|200.239.53.35|:21... connected. Logging in as anonymous ... Logged in! ==> SYST ... done. ==> PWD ... done. ==> TYPE I ... done. ==> CWD /pub/seg/pac ... done. ==> PASV ... done. ==> RETR chkrootkit.tar.gz ... done. Length: 37,140 (36K) (unauthoritative) 100%[====================================>] 37,140 5.67K/s ETA 00:00 03:05:46 (5.30 KB/s) - `chkrootkit.tar.gz' saved [37140] [root@sample ~]# tar zxvf chkrootkit.tar.gz ← 展开被压缩的源代码 [root@sample ~]# cd chkrootkit* ← 进入chkrootkit源代码的目录 [root@sample chkrootkit-0.46a]# make sense ← 编译 [root@sample chkrootkit-0.46a]# cd .. ← 返回上层目录 [root@sample ~]# cp -r chkrootkit-* /usr/local/chkrootkit ← 复制编译后文件所在的目录到指定位置 [root@sample ~]# rm -rf chkrootkit* ← 删除遗留的源代码目录及相关文件 |
|
[root@sample ~]# cd /usr/local/chkrootkit ← 进入chkrootkit的目录 [root@sample chkrootkit]# ./chkrootkit | grep INFECTED ← 测试运行chkrootkit 稍等片刻…如果没有显示“INFECTED”字样,而直接出现命令行提示符,说明一切OK! [root@sample chkrootkit]# cd ← 回到root用户目录 |
|
[root@sample ~]# vi chkrootkit ← 建立chkrootkit自动运行脚本 #!/bin/bash PATH=/usr/bin:/bin TMPLOG=`mktemp` # Run the chkrootkit /usr/local/chkrootkit/chkrootkit > $TMPLOG # Output the log cat $TMPLOG | logger -t chkrootkit # bindshe of SMTPSllHow to do some wrongs if [ ! -z "$(grep 465 $TMPLOG)" ] && \ [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then sed -i '/465/d' $TMPLOG fi # If the rootkit have been found,mail root [ ! -z "$(grep INFECTED $TMPLOG)" ] && \ grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root rm -f $TMPLOG [root@sample ~]# chmod 700 chkrootkit ← 赋予脚本可被执行的权限 [root@sample ~]# mv chkrootkit /etc/cron.daily/ ← 将脚本移动到每天自动运行的目录中 |
|
[root@sample ~]# mkdir /root/commands/ ← 建立暂时容纳命令备份的目录 [root@sample ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/ ← (连续输入无换行)备份系统命令到建立好的目录 [root@sample ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit [root@sample ~]# tar cvf /root/commands.tar /root/commands/ ← 将命令打包 [root@sample ~]# gzip /root/commands.tar ← 将打包的文件压缩 然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方 [root@sample ~]# rm -rf commands* ← 为安全起见,删除服务器端备份的系统命令及相关文件 |
[root@sample ~]# tar zxvf /root/commands.tar.gz ← 解开压缩的命令备份 [root@sample ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit |
相关文章推荐
- 入侵监测系统的构建(chkrootkit )
- 入侵监测系统的构建(chkrootkit )
- 入侵监测系统的构建( chkrootkit )
- Linux下的入侵监测系统的构建(chkrootkit)
- 入侵监测系统的构建(chkrootkit )
- 构建一个入侵监测系统(chkrootkit)
- 入侵监测系统的构建
- ***监测系统的构建(chkrootkit )
- 构建流量与性能监测系统
- Snort 网络入侵检测系统(四)之构建安全图形分析引擎
- Cacti&NTOP构建流量与性能监测系统 推荐
- 构建cacti监测系统
- Centos5.3下构建数据完整性监测系统Tripwire(1.安装配置) 推荐
- 一切尽在掌控--构建Cacti服务器管理监测系统
- 开源系统中构建纵深入侵检测及防御体系技术剖析
- unix入侵监测系统
- Linux系列-Red Hat5平台下构建Cacti流量与性能监测系统
- Tripwire强大的服务器文件完整性监测系统-检测并报告服务器入侵
- 构建LINUX下的入侵检测系统——LIDS
- Linux系列-Red Hat5平台下构建Cacti流量与性能监测系统