***监测系统的构建(chkrootkit )
2011-05-31 10:02
274 查看
所谓rootkit,是一类***者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工 具,***者建立了一条能够总能够***系统,或者说对系统进行实时控制的途径。所以,我们用自由软件chkrootkit来建立***监测系统,来保证对系统 是否被安装了rootkit进行监测。
chkrootkit在监测rootkit是否被安装的过程中,需要使用到一些操作系统本身的命令。但不 排除一种情况,那就是***者有针对性的已经将 chkrootkit使用的系统命令也做修改,使得chkrootkit无法监测rootkit,从而达到即使系统安装了chkrootkit也无法检测 出rootkit的存在,从而依然对系统有着控制的途径,而达到***的目的。那样的话,用chkrootkit构建***监测系统将失去任何意义。对此,我 们在操作系统刚被安装之后,或者说服务器开放之前,让chkrootkit就开始工作。而且,在服务器开放之前,备份chkrootkit使用的系统命 令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让chkrootkit使用初始备份的系统命令进行工作。
安装 chkrootkit
下载和安装 chkrootkit 工具
安装chkrootkit
#wgethttp://down1.chinaunix.net/distfiles/chkrootkit-0.46a.tar.gz
#tar xf chkrootkit-0.46a.tar.gz
#cd chkrootkit-0.46a
#make sense //编译
#cd ..
#cp -r chkrootkit-0.46a /usr/local/chkrootkit
#rm -r chkrootkit-0.46a
测试chkrootkit
#cd /usr/local/chkrootkit
#./chkrootkit | grep INFECTED
#cd
chkrootkit 的监测自动化
# vi chkrootkit ← 建立chkrootkit自动运行脚本
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
# Run the chkrootkit
/usr/local/chkrootkit/chkrootkit > $TMPLOG
# Output the log
cat $TMPLOG | logger -t chkrootkit
# bindshe of SMTPSllHow to do some wrongs
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
# If the rootkit have been found,mail root
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
rm -f $TMPLOG
# chmod 700 chkrootkit ← 赋予脚本可被执行的权限
# mv chkrootkit /etc/cron.daily/ ← 将脚本移动到每天自动运行的目录中
chkrootkit 相关的系统命令的备份
如前言所述,当chkrootkit使用的系统命令被***者更改后,chkrootkit对 rootkit的监测将失效。所以,我们事前将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始命令,让chkrootkit对 rootkit进行检测。
# mkdir /root/commands/ ← 建立暂时容纳命令备份的目录
# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/ ← (连续输入无换行)备份系统命令到建立好的目录
# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit
# tar cvf /root/commands.tar /root/commands/ ← 将命令打包
# gzip /root/commands.tar ← 将打包的文件压缩
然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方
# rm -rf commands* ← 为安全起见,删除服务器端备份的系统命令及相关文件
如果以后想通过备份的原始系统命令来运行chkrootkit的时候,只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩,然后运行在chkrootkit的时候指定相应的目录即可。例如,假设已经将备份上传至root用户目录的情况如下:
# tar zxvf /root/commands.tar.gz ← 解开压缩的命令备份
# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit
然后在运行后删除相应遗留文件即可。
可查询官方网站:
[url=http://www.chkrootkit.org/]http://www.chkrootkit.org/
chkrootkit在监测rootkit是否被安装的过程中,需要使用到一些操作系统本身的命令。但不 排除一种情况,那就是***者有针对性的已经将 chkrootkit使用的系统命令也做修改,使得chkrootkit无法监测rootkit,从而达到即使系统安装了chkrootkit也无法检测 出rootkit的存在,从而依然对系统有着控制的途径,而达到***的目的。那样的话,用chkrootkit构建***监测系统将失去任何意义。对此,我 们在操作系统刚被安装之后,或者说服务器开放之前,让chkrootkit就开始工作。而且,在服务器开放之前,备份chkrootkit使用的系统命 令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让chkrootkit使用初始备份的系统命令进行工作。
安装 chkrootkit
下载和安装 chkrootkit 工具
安装chkrootkit
#wgethttp://down1.chinaunix.net/distfiles/chkrootkit-0.46a.tar.gz
#tar xf chkrootkit-0.46a.tar.gz
#cd chkrootkit-0.46a
#make sense //编译
#cd ..
#cp -r chkrootkit-0.46a /usr/local/chkrootkit
#rm -r chkrootkit-0.46a
测试chkrootkit
#cd /usr/local/chkrootkit
#./chkrootkit | grep INFECTED
#cd
chkrootkit 的监测自动化
# vi chkrootkit ← 建立chkrootkit自动运行脚本
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
# Run the chkrootkit
/usr/local/chkrootkit/chkrootkit > $TMPLOG
# Output the log
cat $TMPLOG | logger -t chkrootkit
# bindshe of SMTPSllHow to do some wrongs
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
# If the rootkit have been found,mail root
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
rm -f $TMPLOG
# chmod 700 chkrootkit ← 赋予脚本可被执行的权限
# mv chkrootkit /etc/cron.daily/ ← 将脚本移动到每天自动运行的目录中
chkrootkit 相关的系统命令的备份
如前言所述,当chkrootkit使用的系统命令被***者更改后,chkrootkit对 rootkit的监测将失效。所以,我们事前将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始命令,让chkrootkit对 rootkit进行检测。
# mkdir /root/commands/ ← 建立暂时容纳命令备份的目录
# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/ ← (连续输入无换行)备份系统命令到建立好的目录
# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit
# tar cvf /root/commands.tar /root/commands/ ← 将命令打包
# gzip /root/commands.tar ← 将打包的文件压缩
然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方
# rm -rf commands* ← 为安全起见,删除服务器端备份的系统命令及相关文件
如果以后想通过备份的原始系统命令来运行chkrootkit的时候,只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩,然后运行在chkrootkit的时候指定相应的目录即可。例如,假设已经将备份上传至root用户目录的情况如下:
# tar zxvf /root/commands.tar.gz ← 解开压缩的命令备份
# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit
然后在运行后删除相应遗留文件即可。
可查询官方网站:
[url=http://www.chkrootkit.org/]http://www.chkrootkit.org/
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 入侵监测系统的构建(chkrootkit )
- 入侵监测系统的构建( chkrootkit )
- 构建一个入侵监测系统(chkrootkit)
- 入侵监测系统的构建(chkrootkit )
- 入侵监测系统的构建(chkrootkit )
- Linux下的入侵监测系统的构建(chkrootkit)
- 入侵监测系统的构建( chkrootkit )
- 日记 [2007年01月25日]< 数据完整性监测系统的构建( Tripwire ) >
- Linux下构建Cacti流量与性能监测系统(图)
- 在RHEL5下构建Cacti监测系统
- 一切尽在掌控--构建Cacti服务器管理监测系统
- Centos5.3下构建数据完整性监测系统Tripwire(2.使用技巧和安全处理)
- 构建Cacti监测系统 推荐
- 数据完整性监测系统的构建( Tripwire )
- Linux系列-Red Hat5平台下构建Cacti流量与性能监测系统 推荐
- Cacti&NTOP构建流量与性能监测系统 推荐
- 构建NTOP监测系统
- 在RHEL5下构建Cacti监测系统
- Centos5.3下构建数据完整性监测系统Tripwire(1.安装配置) 推荐
- 构建Cacti监测系统