Linux服务器后门检测RKHunter及被攻击后处理思路

  1. 云栖社区>
  2. 博客>
  3. 正文

Linux服务器后门检测RKHunter及被攻击后处理思路

科技小先锋 2017-11-14 19:26:00 浏览1547
展开阅读全文

前言

rootkitLinux平台下最常种木工具它主系统达到入侵和的目普通门更的检和检手段很难种木rootkit攻击能力系统很大过一来建后门和隐保住使它在候都使roo 录到统。

           rootkit主要有两种类型:文件级别和内核级别。

   文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwireaide等。 

   内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。以防范

为主。

      

注: 本文选自南非蚂蚁公开课.


 

一、 rootkit后门检测工RKHunter


 RKHunte 检测rootkit 的工具行一脚本来确认服务器是否已感染rootkit。在官方的料中RKHunter 情有:

q    MD 校验测,检文件改动

 

q    检测rootkit使用的二进制和系统

 

q    检测特洛伊木马程征码

 

q    常用程序的文是否

 

q    检测系统相关的测试

 

q    检测隐藏文件

 

q    检测可疑的核心模块LKM

 

q    检测系统已启动的

 

可以在https://rootkit.nl/projects/rootkit_hunter.html下载rkhunter源码进行安装。

 

安装方法如下:

 

[root@iZ23sl33esb ~]#tarzxvfrkhunter-1.4.2.tar.gz[root@iZ23sl33esb ~]#cdrkhunter-1.4.2[root@iZ23sl33esbZ~]#./installer.sh  --install

全面检查:

 

[root@iZ23sl33esbZ~]#rkhunter      -c

 

Linux终端使用rkhunter最大每项都有颜色显示如果绿的表题,如红色那就关注外,在执行测的过程中,在每检测后,以 Enter  序自执行如下命令:

 

[root@server~]#/usr/local/bin/rkhunte --check--skip-keypress

 

同时,如果想让检每天那么/etc/crontab   加入容:


30     23   *    *    *    root  /usr/local/bin/rkhunter --check--cronjo

 这样,rkhunter检测程序就天的23:30分运行一次




二、服务器遭受攻后的理过程

 

 

安全服务遭受个安要把握的则是尽量统安防护所有行为遭受击后能够迅速有地处行为地降对系响。

 

1、  处理服务器遭受攻的一思路

 

 

系统击并是面束手无策绍下器遭受攻击后的一般处理路。

 

 

1)切断网络

 

 

所有都来遭受首先就是断开服网络这样攻击,也器所他主

 

 

2)查找攻击源

 

 

可以系统日志登录志文信息看系开了哪些端些进这些些是个过据经和综合判断能力进行追析。介绍程的路。

 

 

3)分析入侵原因途径

 

 

既然到入侵原因面的可能漏洞也可一定要查哪个楚遭的途找到为只知道了遭受攻击的原因,才源同漏洞


4)备份用户数据

 

 

在服受攻备份上的查看据中是否隐源在定要将用备份一个安全的地方。

 

 

5)重新安装系统

 

 

永远为自底清没有更了服务器遭到安全方法新安攻击会依在系统文件或者内核中重新能彻攻击

 

 

6)修复程序或系漏洞

 

 

在发漏洞用程就是统漏程序  bug,因只有将程序的复完在服运行。

 

 

7)恢复数据和连网络

 

 

将备据重到新服务网络连接,对外提供服务。

 

2检查并锁定可疑用户

 

 

当发器遭首先马上切断网就必系统可疑疑用了系么需要马上将这个用户然后的远

 

3、查看系统日志

 

 

统日击源方法的系志有/var/log/messages

 

/var/log/secure     等,两个志文可以件的行状远程户的录状,还


可以个用下的.bash_history  ,特/roo 录下.bash_history  文件,这个文件中记录着用的所

 

4检查并关闭系统可进程

 

 

检查程的pstop时候的名得知路径,此时可以通过令查

首先pidof命令可正在进程PID如要sshdPID,执行如下命令:

 

[root@server~]#pidosshd

13276  12942  4284

然后进入内存目录对应PID目录下exe信息:

 

[root@server~]#ls  -al  /proc/13276/exe

 

lrwxrwxrwx  1    root  root    0  Oct  4  22:09   /proc/13276/exe->/usr/sbin/sshd



 

这样了进的完路径查看句柄查看录:

 

[root@server~]#ls   -al   /proc/13276/fd

 

通过这种方式基本到任整执.

 

 

5、检查文件系统完好性

 

 

检查性是变化系统最简最直可以检查被务器上/bin/ls文件的大与正文件相同证文是否被替种方Linuxrpm这个完成操作如下:

 

[root@server~]#rpm  -Va

 

....L...     c   /etc/pam.d/system-auth

S.5.....   c    /etc/security/limits.conf

S.5....T  c   /etc/sysctl.conf

S.5....T       /etc/sgml/docbook-simple.cat

S.5....T  c   /etc/login.defs

S.5.....   c  /etc/openldap/ldap.conf

S.5....T  c  /etc/sudoers


 

6、重新安装系统复数据

 

 

很多攻击统已将服面数据进行备份,然后重系统复数

数据恢复完成,马统做安全略,全。



本文转自pizibaidu 51CTO博客,原文链接:http://blog.51cto.com/pizibaidu/1794913,如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
科技小先锋
+ 关注