LINUX 安全运维 (四)

  1. 云栖社区>
  2. 博客>
  3. 正文

LINUX 安全运维 (四)

科技小能手 2017-11-12 02:16:00 浏览1509
展开阅读全文

Linux  后门入侵检测工具:

   (1 )先简单介绍一种木马

            rootkit 是木马后门工具,说白了就是木马病毒。它比普通木马更加危险,而且隐藏隐蔽。它主要是把你系统的文件,替换成它的文件。表面上还是你的文件,实际上已经不是了。所以非常危险。

     rootkit有2种类型,文件级别  和  内核级别。(呵呵,病毒也是分门别派的,就像武侠剧,丐帮也分为污衣派 和 净衣派)


     污衣派(文件级别rootkit):  污衣派比较简单,就是利用程序漏洞或者系统漏洞进入系统后,修改系统的重要文件来达到自己的目的。说白了,就是把系统的重要职位,换成污衣派的人,表面上还是管理员的人,实际上已经变了。  通常容易被污衣派替换的系统程序有 login , ls  , ps , ifconfig , du , find , netstat 等。

     预防污衣派,有效方法是定期对系统重要文件的完整性进行检查。怎么检查?检查什么?  就是用工具检查一下你的文件是否被修改或者替换了,是不是原来的文件等。如果发现被修改或者替换了,那么就说明系统已经遭受污衣派的入侵了。检测文件完整性的工具有很多,比如Tripwire  ,  aide 等。


     净衣派(内核级别rootkit):  之所以被称为净衣派,就是因为干净。干的是技术活,身上的灰尘少。

净衣派主要依附在内核上,不对系统文件做任何修改。一般的检测工具难以检测到它。 比如,用户要运行程序A,被净衣派入侵的系统会假装运行A,实际上运行B .   太可怕了。现在对净衣派的防御,还没有太好的工具,只能将系统维持在最小权限内工作,只要攻击者不能获取root权限,就无法在内核中植入rootkit,即就不能在内核中安插自己的人。


    (2) 木马介绍完了,现在来介绍对付木马的一种工具,叫  chkrootkit  .

     chkrootkit   是LINUX  系统下查找并检测 rootkit 后门的一种工具。它的官方网站是: http://www.chkrootkit.org.    chkrootkit 没有包含在官方的CentOS源中,因此采取手动编译的方法来安装。

      我这里把rootkit比作丐帮,那么我把chkrootkit比作特工,因为我们知道,特工是很厉害的。

      安装特工(chkrootkit) :

      环境: CENTOS系统    (不同系统可能会不太一样,最好是centos,redhat 可能会报错)

      1.   #  yum  -y   install gcc  

           #   yum   -y  install gcc-c++ 

           #   yum   -y  install make  

     2.为了安全,最好从官方网站下载chkrootkit,下载完成后,进行下面步骤:

          #  tar  -zxvf   chkrootkit.tar.gz     //解压文件

         #  cd chkrootkit-*

         #  make sense         //你没有看错,就是make sense  !

         #  cd ..                      //返回到上一层

        #  cp -r chkrootkit-*  /usr/local/chkrootkit        //复制文件到另一个地方,-r是递归复制

      #  rm  -rf   chkrootkit-*                    //因为刚才已经复制了文件了,现在可以删除了。

到此安装完成!


     (3)  用特工(chkrootkit)

        # /usr/local/chkrootkit/chkrootkit -h        //-h  是帮助,列出各种参数,-q 是安静模式,只列出有问题的内容,-p 是检测时使用系统命令的目录

         Checking `ifconfig`    ...     INFECTED       //这个单词是被感染

         Checking `sshd `   ...   not infected          //没有被感染   


    总结:如果被感染了,最好的方法就是备份数据,然后重新安装操作系统。


    补充一个非常重要的知识点:  特工(chkrootkit ) 在检查  丐帮 (rootkit )的过程中,也使用了部分系统命令,所以,如果服务器已经被丐帮入侵,系统里都是丐帮的人,就是所有的命令都是丐帮的人,那么chkrootkit的检测结果也就不可靠了。  为了避免这个问题,在服务器对外开放之前,先将chkrootkit使用的命令进行备份,在需要的时候,让备份的命令对rootkit 进行检测。  怎么备份呢?下面是过程:

      #   mkdir  /usr/shareing/.mingling     //mingling前面有一个点,是隐藏目录,不让黑客发现

      #   cp  ` which --skip-alias awk cut echo find egrep id head ls netstat ps ssh strings sed uname ` /usr/shareing/.mingling             //把特工(chkrootkit)可能用到的命令,提前先做备份。

     #  /usr/local/chkrootkit/chkrootkit    -p   /usr/shareing/.mingling     //-p是检测时用到系统命令的目录

    #  tar -zcvf   mingling.tar.gz    /usr/shareing/.mingling     //可以把这个隐藏目录打包,用U盘烤出来,放到一个安全的地方。如果服务器遭受入侵,可以上传到服务器上,进行检测。


   #  rm  -rf   mingling.tar.gz       //用U盘拷出来后,可以删除了。



(附:chkrootkit参数说明)

  Usage: ./chkrootkit [options] [test ...]
   Options:
        -h                显示帮助信息
        -V                显示版本信息
        -l                显示测试内容
        -d                debug模式,显示检测过程的相关指令程序
        -q                安静模式,只显示有问题部分,
        -x                高级模式,显示所有检测结果
        -r dir            设定指定的目录为根目录
        -p dir1:dir2:dirN 检测指定目录
        -n                跳过NFS连接的目录


本文转自 曾国藩_6868 51CTO博客,原文链接:http://blog.51cto.com/8184069/1717916

网友评论

登录后评论
0/500
评论
科技小能手
+ 关注