<<<返回[配置详解]索引
<入侵监测系统的构建(chkrootkit)>(最近更新日:2006/08/24)
所谓rootkit,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够总能够入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件chkrootkit来建立入侵监测系统,来保证对系统是否被安装了rootkit进行监测。
chkrootkit在监测rootkit是否被安装的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将chkrootkit使用的系统命令也做修改,使得chkrootkit无法监测rootkit,从而达到即使系统安装了chkrootkit也无法检测出rootkit的存在,从而依然对系统有着控制的途径,而达到入侵的目的。那样的话,用chkrootkit构建入侵监测系统将失去任何意义。对此,我们在操作系统刚被安装之后,或者说服务器开放之前,让chkrootkit就开始工作。而且,在服务器开放之前,备份chkrootkit使用的系统命令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让chkrootkit使用初始备份的系统命令进行工作。
首先来下载和安装chkrootkit工具。
[root@sample~]#wgetftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ←下载chkrootkit
--03:05:31--ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
=>`chkrootkit.tar.gz'
Resolvingftp.pangeia.com.br...200.239.53.35
Connectingtoftp.pangeia.com.br|200.239.53.35|:21...connected.
Logginginasanonymous...Loggedin!
==>SYST...done.==>PWD...done.
==>TYPEI...done.==>CWD/pub/seg/pac...done.
==>PASV...done.==>RETRchkrootkit.tar.gz...done.
Length:37,140(36K)(unauthoritative)100%[====================================>]37,1405.67K/sETA00:00
03:05:46(5.30KB/s)-`chkrootkit.tar.gz'saved[37140]
[root@sample~]#tarzxvfchkrootkit.tar.gz←展开被压缩的源代码
[root@sample~]#cdchkrootkit*←进入chkrootkit源代码的目录
[root@samplechkrootkit-0.46a]#makesense←编译
[root@samplechkrootkit-0.46a]#cd..←返回上层目录
[root@sample~]#cp-rchkrootkit-*/usr/local/chkrootkit←复制编译后文件所在的目录到指定位置
[root@sample~]#rm-rfchkrootkit*←删除遗留的源代码目录及相关文件
|
然后测试chkrootkit是否能够正常运行。
[root@sample~]#cd/usr/local/chkrootkit ←进入chkrootkit的目录
[root@samplechkrootkit]#./chkrootkit|grepINFECTED ←测试运行chkrootkit
稍等片刻…如果没有显示“INFECTED”字样,而直接出现命令行提示符,说明一切OK!
[root@samplechkrootkit]#cd←回到root用户目录 |
用ShellScript编写一段脚本,通过这个脚本让chkrootkit的监测自动化。如有rootkit被发现的时候,发送邮件通知root用户,并且将运行结果保存在/var/log/messages文件中。
[root@sample~]#vichkrootkit ←建立chkrootkit自动运行脚本
#!/bin/bashPATH=/usr/bin:/bin
TMPLOG=`mktemp`
#Runthechkrootkit
/usr/local/chkrootkit/chkrootkit>$TMPLOG
#Outputthelog
cat$TMPLOG|logger-tchkrootkit
#bindsheofSMTPSllHowtodosomewrongs
if[!-z"$(grep465$TMPLOG)"]&&\
[-z$(/usr/sbin/lsof-i:465|grepbindshell)];then
sed-i'/465/d'$TMPLOG
fi
#Iftherootkithavebeenfound,mailroot
[!-z"$(grepINFECTED$TMPLOG)"]&&\
grepINFECTED$TMPLOG|mail-s"chkrootkitreportin`hostname`"root
rm-f$TMPLOG
[root@sample~]#chmod700chkrootkit ←赋予脚本可被执行的权限
[root@sample~]#mvchkrootkit/etc/cron.daily/ ←将脚本移动到每天自动运行的目录中
|
如前言所述,当chkrootkit使用的系统命令被入侵者更改后,chkrootkit对rootkit的监测将失效。所以,我们事前将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始命令,让chkrootkit对rootkit进行检测。
[root@sample~]#mkdir/root/commands/ ←建立暂时容纳命令备份的目录
[root@sample~]#cp`which--skip-aliasawkcutechoegrepfindheadidlsnetstatpsstringsseduname`/root/commands/ ←(连续输入无换行)备份系统命令到建立好的目录
[root@sample~]#/usr/local/chkrootkit/chkrootkit-p/root/commands|grepINFECTED ←用备份的命令运行chkrootkit
[root@sample~]#tarcvf/root/commands.tar/root/commands/ ←将命令打包
[root@sample~]#gzip/root/commands.tar ←将打包的文件压缩
然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方
[root@sample~]#rm-rfcommands*←为安全起见,删除服务器端备份的系统命令及相关文件 |
如果以后想通过备份的原始系统命令来运行chkrootkit的时候,只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩,然后运行在chkrootkit的时候指定相应的目录即可。例如,假设已经将备份上传至root用户目录的情况如下:
[root@sample~]#tarzxvf/root/commands.tar.gz ←解开压缩的命令备份
[root@sample~]#/usr/local/chkrootkit/chkrootkit-p/root/commands|grepINFECTED ←用备份的命令运行chkrootkit |
然后在运行后删除相应遗留文件即可。