LINUX 安全运维 （四）

Linux  后门入侵检测工具：

   （1 )先简单介绍一种木马

            rootkit 是木马后门工具，说白了就是木马病毒。它比普通木马更加危险，而且隐藏隐蔽。它主要是把你系统的文件，替换成它的文件。表面上还是你的文件，实际上已经不是了。所以非常危险。

     rootkit有2种类型，文件级别  和  内核级别。（呵呵，病毒也是分门别派的，就像武侠剧，丐帮也分为污衣派 和 净衣派）

     污衣派（文件级别rootkit）：  污衣派比较简单，就是利用程序漏洞或者系统漏洞进入系统后，修改系统的重要文件来达到自己的目的。说白了，就是把系统的重要职位，换成污衣派的人，表面上还是管理员的人，实际上已经变了。  通常容易被污衣派替换的系统程序有 login , ls  , ps , ifconfig , du , find , netstat 等。

     预防污衣派,有效方法是定期对系统重要文件的完整性进行检查。怎么检查？检查什么？  就是用工具检查一下你的文件是否被修改或者替换了，是不是原来的文件等。如果发现被修改或者替换了，那么就说明系统已经遭受污衣派的入侵了。检测文件完整性的工具有很多，比如Tripwire  ,  aide 等。

     净衣派（内核级别rootkit）:  之所以被称为净衣派，就是因为干净。干的是技术活，身上的灰尘少。

净衣派主要依附在内核上，不对系统文件做任何修改。一般的检测工具难以检测到它。 比如，用户要运行程序A，被净衣派入侵的系统会假装运行A,实际上运行B .   太可怕了。现在对净衣派的防御，还没有太好的工具，只能将系统维持在最小权限内工作，只要攻击者不能获取root权限，就无法在内核中植入rootkit,即就不能在内核中安插自己的人。

    （2） 木马介绍完了，现在来介绍对付木马的一种工具，叫  chkrootkit  .

     chkrootkit   是LINUX  系统下查找并检测 rootkit 后门的一种工具。它的官方网站是： http://www.chkrootkit.org.    chkrootkit 没有包含在官方的CentOS源中，因此采取手动编译的方法来安装。

      我这里把rootkit比作丐帮，那么我把chkrootkit比作特工，因为我们知道，特工是很厉害的。

      安装特工（chkrootkit) :

      环境： CENTOS系统    （不同系统可能会不太一样,最好是centos，redhat 可能会报错）

      1.   #  yum  -y   install gcc  

           #   yum   -y  install gcc-c++ 

           #   yum   -y  install make  

     2.为了安全，最好从官方网站下载chkrootkit,下载完成后，进行下面步骤：

          #  tar  -zxvf   chkrootkit.tar.gz     //解压文件

         #  cd chkrootkit-*

         #  make sense         //你没有看错，就是make sense  !

         #  cd ..                      //返回到上一层

        #  cp -r chkrootkit-*  /usr/local/chkrootkit        //复制文件到另一个地方，-r是递归复制

      #  rm  -rf   chkrootkit-*                    //因为刚才已经复制了文件了，现在可以删除了。

到此安装完成！

     （3）  用特工（chkrootkit）

        # /usr/local/chkrootkit/chkrootkit -h        //-h  是帮助，列出各种参数，-q 是安静模式，只列出有问题的内容,-p 是检测时使用系统命令的目录

         Checking `ifconfig`    ...     INFECTED       //这个单词是被感染

         Checking `sshd `   ...   not infected          //没有被感染   

    总结：如果被感染了，最好的方法就是备份数据，然后重新安装操作系统。

    补充一个非常重要的知识点：  特工（chkrootkit ） 在检查  丐帮 （rootkit ）的过程中，也使用了部分系统命令，所以，如果服务器已经被丐帮入侵，系统里都是丐帮的人，就是所有的命令都是丐帮的人，那么chkrootkit的检测结果也就不可靠了。  为了避免这个问题，在服务器对外开放之前，先将chkrootkit使用的命令进行备份，在需要的时候，让备份的命令对rootkit 进行检测。  怎么备份呢？下面是过程：

      #   mkdir  /usr/shareing/.mingling     //mingling前面有一个点，是隐藏目录，不让黑客发现

      #   cp  ` which --skip-alias awk cut echo find egrep id head ls netstat ps ssh strings sed uname ` /usr/shareing/.mingling             //把特工(chkrootkit)可能用到的命令，提前先做备份。

     #  /usr/local/chkrootkit/chkrootkit    -p   /usr/shareing/.mingling     //-p是检测时用到系统命令的目录

    #  tar -zcvf   mingling.tar.gz    /usr/shareing/.mingling     //可以把这个隐藏目录打包，用U盘烤出来，放到一个安全的地方。如果服务器遭受入侵，可以上传到服务器上，进行检测。

   #  rm  -rf   mingling.tar.gz       //用U盘拷出来后，可以删除了。

（附：chkrootkit参数说明）

  Usage: ./chkrootkit [options] [test ...]
   Options:
        -h                显示帮助信息
        -V                显示版本信息
        -l                显示测试内容
        -d                debug模式，显示检测过程的相关指令程序
        -q                安静模式，只显示有问题部分，
        -x                高级模式，显示所有检测结果
        -r dir            设定指定的目录为根目录
        -p dir1:dir2:dirN 检测指定目录
        -n                跳过NFS连接的目录

本文转自 曾国藩_6868 51CTO博客，原文链接:http://blog.51cto.com/8184069/1717916