Linux后门入侵检测工具
1、rootkit简介html
rootkit是Linux平台下最多见的一种木马后门工具,它主要经过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它经过一套工具来创建后门和隐藏行迹,从而让攻击者保住权限,以使它在任什么时候候均可以使用root权限登陆到系统。c++
rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍。安全
一、文件级别rootkitbash
文件级别的rootkit通常是经过程序漏洞或者系统漏洞进入系统后,经过修改系统的重要文件来达到隐藏本身的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。一般容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等,其中login程序是最常常被替换的,由于当访问Linux时,不管是经过本地登陆仍是远程登陆,/bin/login程序都会运行,系统将经过/bin/login来收集并核对用户的帐号和密码,而rootkit就是利用这个程序的特色,使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login,这样攻击者经过输入设定好的密码就能轻松进入系统。此时,即便系统管理员修改root密码或者清除root密码,攻击者仍是同样能经过root用户登陆系统。攻击者一般在进入Linux系统后,会进行一系列的攻击动做,最多见的是安装嗅探器收集本机或者网络中其余服务器的重要数据。在默认状况下,Linux中也有一些系统文件会监控这些工具动做,例如ifconfig命令,因此,攻击者为了不被发现,会千方百计替换其余系统文件,常见的就是ls、ps、ifconfig、du、find、netstat等。若是这些文件都被替换,那么在系统层面就很难发现rootkit已经在系统中运行了。服务器
这就是文件级别的rootkit,对系统维护很大,目前最有效的防护方法是按期对系统重要文件的完整性进行检查,若是发现文件被修改或者被替换,那么极可能系统已经遭受了rootkit入侵。检查件完整性的工具不少,常见的有Tripwire、 aide等,能够经过这些工具按期检查文件系统的完整性,以检测系统是否被rootkit入侵。网络
二、内核级别的rootkitapp
内核级rootkit是比文件级rootkit更高级的一种入侵方式,它可使攻击者得到对系统底层的彻底控制权,此时攻击者能够修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序,也就是说,当用户要运行程序A时,被入侵者修改过的内核会伪装执行A程序,而实际上却执行了程序B。less
内核级rootkit主要依附在内核上,它并不对系统文件作任何修改,所以通常的检测工具很难检测到它的存在,这样一旦系统内核被植入rootkit,攻击者就能够对系统随心所欲而不被发现。目前对于内核级的rootkit尚未很好的防护工具,所以,作好系统安全防范就很是重要,将系统维持在最小权限内工做,只要攻击者不能获取root权限,就没法在内核中植入rootkit。ssh
2、rootkit后门检测工具chkrootkittcp
chkrootkit是一个Linux系统下查找并检测rootkit后门的工具,它的官方址: http://www.chkrootkit.org/。 chkrootkit没有包含在官方的CentOS源中,所以要采起手动编译的方法来安装,不过这种安装方法也更加安全。下面简单介绍下chkrootkit的安装过程。
1.准备gcc编译环境
对于CentOS系统,须要安装gcc编译环境,执行下述三条命令:
|
1
2
3
|
[root@server ~]# yum -y install gcc
[root@server ~]# yum -y install gcc-c++
[root@server ~]# yum -y install make
|
二、安装chkrootkit
为了安全起见,建议直接从官方网站下载chkrootkit源码,而后进行安装,操做以下:
|
1
2
3
|
[root@server ~]# tar zxvf chkrootkit.tar.gz
[root@server ~]# cd chkrootkit-*
[root@server ~]# make sense
|
# 注意,上面的编译命令为make sense
|
1
2
3
|
[root@server ~]# cd ..
[root@server ~]# cp -r chkrootkit-* /usr/local/chkrootkit
[root@server ~]# rm -rf chkrootkit-*
|
三、使用chkrootkit
安装完的chkrootkit程序位于/usr/local/chkrootkit目录下,执行以下命令便可显示chkrootkit的详细用法:
[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkit -h
chkrootkit各个参数的含义以下所示。
参数含义
-h显示帮助信息
-v显示版本信息
-l显示测试内容
-ddebug模式,显示检测过程的相关指令程序
-q安静模式,只显示有问题的内容
-x高级模式,显示全部检测结果
-r dir设置指定的目录为根目录
-p dir1:dir2:dirN指定chkrootkit检测时使用系统命令的目录
-n跳过NFS链接的目录
chkrootkit的使用比较简单,直接执行chkrootkit命令便可自动开始检测系统。下面是某个系统的检测结果:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkit
Checking `ifconfig'... INFECTED
Checking `ls'... INFECTED
Checking `login'... INFECTED
Checking `netstat'... INFECTED
Checking `ps'... INFECTED
Checking `top'... INFECTED
Checking `sshd'... not infected
Checking `syslogd'... not tested
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `telnetd'... not found
|
从输出能够看出,此系统的ifconfig、ls、login、netstat、ps和top命令已经被感染。针对被感染rootkit的系统,最安全而有效的方法就是备份数据从新安装系统。
四、chkrootkit的缺点
chkrootkit在检查rootkit的过程当中使用了部分系统命令,所以,若是服务器被黑客入侵,那么依赖的系统命令可能也已经被入侵者替换,此时chkrootkit的检测结果将变得彻底不可信。为了不chkrootkit的这个问题,能够在服务器对外开放前,事先将chkrootkit使用的系统命令进行备份,在须要的时候使用备份的原始系统命令让chkrootkit对rootkit进行检测。这个过程能够经过下面的操做实现:
|
1
2
3
4
5
6
|
[root@server ~]# mkdir /usr/share/.commands
[root@server ~]# cp `which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname` /usr/share/.commands
[root@server ~]# /usr/local/chkrootkit/chkrootkit -p /usr/share/.commands/
[root@server share]# cd /usr/share/
[root@server share]# tar zcvf commands.tar.gz .commands
[root@server share]# rm -rf commands.tar.gz
|
上面这段操做是在/usr/share/下创建了一个.commands隐藏文件,而后将chkrootkit使用的系统命令进行备份到这个目录下。为了安全起见,能够将.commands目录压缩打包,而后下载到一个安全的地方进行备份,之后若是服务器遭受入侵,就能够将这个备份上传到服务器任意路径下,而后经过chkrootkit命令的“-p”参数指定这个路径进行检测便可。
3、rootkit后门检测工具RKHunter (推荐)
RKHunter是一款专业的检测系统是否感染rootkit的工具,它经过执行一系列的脚原本确认服务器是否已经感染rootkit。在官方的资料中,RKHunter能够做的事情有:
MD5校验测试,检测文件是否有改动
检测rootkit使用的二进制和系统工具文件
检测特洛伊木马程序的特征码
检测经常使用程序的文件属性是否异常
检测系统相关的测试
检测隐藏文件
检测可疑的核心模块LKM
检测系统已启动的监听端口
下面详细讲述下RKHunter的安装与使用。
一、安装RKHunter (也能够经过epel源,使用yum install rkhunter -y 进行安装)
RKHunter的官方网页地址为:http://www.rootkit.nl/projects/rootkit_hunter.html,建议从这个网站下载RKHunter,这里下载的版本是rkhunter-1.4.0.tar.gz。RKHunter的安装很是简单,过程以下:
|
1
2
3
4
5
6
7
|
[root@server ~]# ls
rkhunter-
1.4
.
0
.tar.gz
[root@server ~]# pwd
/root
[root@server ~]# tar -zxvf rkhunter-
1.4
.
0
.tar.gz
[root@server ~]# cd rkhunter-
1.4
.
0
[root@server rkhunter-
1.4
.
0
]# ./installer.sh --layout
default
--install
|
这里采用RKHunter的默认安装方式,rkhunter命令被安装到了/usr/local/bin目录下。
二、使用rkhunter指令
rkhunter命令的参数较多,可是使用很是简单,直接运行rkhunter便可显示此命令的用法。下面简单介绍下rkhunter经常使用的几个参数选项。
[root@server ~]#/usr/local/bin/rkhunter–help
Rkhunter经常使用参数以及含义以下所示。
参数 含义
-c, –check必选参数,表示检测当前系统
–configfile <file>使用特定的配置文件
–cronjob做为cron任务按期运行
–sk, –skip-keypress自动完成全部检测,跳过键盘输入
–summary显示检测结果的统计信息
–update检测更新内容
-V, –version显示版本信息
–versioncheck检测最新版本
下面是经过rkhunter对某个系统的检测示例:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
|
[root@server rkhunter-
1.4
.
0
]# /usr/local/bin/rkhunter -c
[ Rootkit Hunter version
1.4
.
0
]
#下面是第一部分,先进行系统命令的检查,主要是检测系统的二进制文件,由于这些文件最容易被rootkit攻击。显示OK字样表示正常,显示Warning表示有异常,须要引发注意,而显示“Not found”字样,通常无需理会
Checking system commands...
Performing
'strings'
command checks
Checking
'strings'
command [ OK ]
Performing
'shared libraries'
checks
Checking
for
preloading
var
iables [ None found ]
Checking
for
preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH
var
iable [ Not found ]
Performing file properties checks
Checking
for
prerequisites [ Warning ]
/usr/local/bin/rkhunter [ OK ]
/sbin/chkconfig [ OK ]
....(略)....
[Press <ENTER> to
continue
]
#下面是第二部分,主要检测常见的rootkit程序,显示“Not found”表示系统未感染此rootkit
Checking
for
rootkits...
Performing check of known rootkit files and directories
55808
Trojan - Variant A [ Not found ]
ADM Worm [ Not found ]
AjaKit Rootkit [ Not found ]
Adore Rootkit [ Not found ]
aPa Kit [ Not found ]
Apache Worm [ Not found ]
Ambient (ark) Rootkit [ Not found ]
Balaur Rootkit [ Not found ]
BeastKit Rootkit [ Not found ]
beX2 Rootkit [ Not found ]
BOBKit Rootkit [ Not found ]
....(略)....
[Press <ENTER> to
continue
]
#下面是第三部分,主要是一些特殊或附加的检测,例如对rootkit文件或目录检测、对恶意软件检测以及对指定的内核模块检测
Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking
for
possible rootkit files and directories [ None found ]
Checking
for
possible rootkit strings [ None found ]
Performing malware checks
Checking running processes
for
suspicious files [ None found ]
Checking
for
login backdoors [ None found ]
Checking
for
suspicious directories [ None found ]
Checking
for
sniffer log files [ None found ]
Performing Linux specific checks
Checking loaded kernel modules [ OK ]
Checking kernel module names [ OK ]
[Press <ENTER> to
continue
]
#下面是第四部分,主要对网络、系统端口、系统启动文件、系统用户和组配置、SSH配置、文件系统等进行检测
Checking the network...
Performing checks on the network ports
Checking
for
backdoor ports [ None found ]
Performing checks on the network interfaces
Checking
for
promiscuous interfaces [ None found ]
Checking the local host...
Performing system boot checks
Checking
for
local host name [ Found ]
Checking
for
system startup files [ Found ]
Checking system startup files
for
malware [ None found ]
Performing group and account checks
Checking
for
passwd file [ Found ]
Checking
for
root equivalent (UID
0
) accounts [ None found ]
Checking
for
passwordless accounts [ None found ]
....(略)....
[Press <ENTER> to
continue
]
#下面是第五部分,主要是对应用程序版本进行检测
Checking application versions...
Checking version of GnuPG[ OK ]
Checking version of OpenSSL [ Warning ]
Checking version of OpenSSH [ OK ]
#下面是最后一部分,这个部分实际上是上面输出的一个总结,经过这个总结,能够大概了解服务器目录的安全状态。
System checks summary
=====================
File properties checks...
Required commands check failed
Files checked:
137
Suspect files:
4
Rootkit checks...
Rootkits checked :
311
Possible rootkits:
0
Applications checks...
Applications checked:
3
Suspect applications:
1
The system checks took:
6
minutes and
41
seconds
|
在Linux终端使用rkhunter来检测,最大的好处在于每项的检测结果都有不一样的颜色显示,若是是绿色的表示没有问题,若是是红色的,那就要引发关注了。另外,在上面执行检测的过程当中,在每一个部分检测完成后,须要以Enter键来继续。
若是要让程序自动运行,能够执行以下命令:
[root@server ~]# /usr/local/bin/rkhunter --check --skip-keypress
同时,若是想让检测程序天天定时运行,那么能够在/etc/crontab中加入以下内容:
08 3 * * * root /usr/local/bin/rkhunter --check –-cronjob
这样,rkhunter检测程序就会在天天的3:08分运行一次。
安全更新:
最近爆出Bash安全漏洞,SSH bash紧急安全补丁!重要!
测试是否存在漏洞,执行如下命令:
|
1
2
3
|
$ env x=
'() { :;}; echo vulnerable'
bash -c
"echo this is a test"
vulnerable
this
is
a test
|
若是显示如上,那么,很遗憾,必须当即打上安全补丁修复,
临时解决办法为:
|
1
|
yum -y update bash
|
升级bash后,执行测试:
|
1
2
3
4
|
$ env x=
'() { :;}; echo vulnerable'
bash -c
"echo this is a test"
bash: warning: x: ignoring
function
definition attempt
bash: error importing
function
definition
for
`x'
this
is
a test
|
若是显示如上,表示已经修补了漏洞。
- 1. Linux入侵检测工具
- 2. Linux后门入侵检测工具 rkhunter 安装使用
- 3. linux入侵检测工具之aide
- 4. 安全运维之:Linux后门入侵检测工具的使用
- 5. Linux下rootkit后门检测工具chkrootkit
- 6. aide入侵检测工具与crontab
- 7. rootkit后门检测工具
- 8. Linux 入侵检测小结
- 9. Linux入侵检测系统
- 10. 入侵检测
- 更多相关文章...
- • netwox网络工具集入门教程 - TCP/IP教程
- • jQuery Mobile 工具栏 - jQuery Mobile 教程
- • PHP开发工具
- • YAML 入门教程
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. eclipse设置粘贴字符串自动转义
- 2. android客户端学习-启动模拟器异常Emulator: failed to initialize HAX: Invalid argument
- 3. android.view.InflateException: class com.jpardogo.listbuddies.lib.views.ListBuddiesLayout问题
- 4. MYSQL8.0数据库恢复 MYSQL8.0ibd数据恢复 MYSQL8.0恢复数据库
- 5. 你本是一个肉体,是什么驱使你前行【1】
- 6. 2018.04.30
- 7. 2018.04.30
- 8. 你本是一个肉体,是什么驱使你前行【3】
- 9. 你本是一个肉体,是什么驱使你前行【2】
- 10. 【资讯】LocalBitcoins达到每周交易比特币的7年低点