入侵监测系统的构建(chkrootkit)

king 安全防护 2023-01-19 384浏览 0

所谓rootkit，是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉，通过这类工具，入侵者建立了一条能够总能够入侵系统，或者说对系统进行实时控制的途径。所以，我们用自由软件chkrootkit来建立入侵监测系统，来保证对系统是否被安装了rootkit进行监测。

chkrootkit在监测rootkit是否被安装的过程中，需要使用到一些操作系统本身的命令。但不排除一种情况，那就是入侵者有针对性的已经将 chkrootkit使用的系统命令也做修改，使得chkrootkit无法监测rootkit，从而达到即使系统安装了chkrootkit也无法检测出rootkit的存在，从而依然对系统有着控制的途径，而达到入侵的目的。那样的话，用chkrootkit构建入侵监测系统将失去任何意义。对此，我们在操作系统刚被安装之后，或者说服务器开放之前，让chkrootkit就开始工作。而且，在服务器开放之前，备份chkrootkit使用的系统命令，在一些必要的时候（怀疑系统命令已被修改的情况等等），让chkrootkit使用初始备份的系统命令进行工作。

安装 chkrootkit

首先来下载和安装 chkrootkit 工具。

[root@localhost~]#wgetftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz　 ←下载chkrootkit

–03:05:31–ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz =>`chkrootkit.tar.gz’ Resolvingftp.pangeia.com.br…200.239.53.35 Connectingtoftp.pangeia.com.br|200.239.53.35|:21…connected. Logginginasanonymous…Loggedin! ==>SYST…done.==>PWD…done. ==>TYPEI…done.==>CWD/pub/seg/pac…done. ==>PASV…done.==>RETRchkrootkit.tar.gz…done. Length:37,140(36K)(unauthoritative) 100%[====================================>]37,1405.67K/sETA00:00 03:05:46(5.30KB/s)-`chkrootkit.tar.gz’saved[37140]

[root@localhost~]#tarzxvfchkrootkit.tar.gz　←展开被压缩的源代码

[root@localhost~]#cdchkrootkit*　←进入chkrootkit源代码的目录

[root@localhostchkrootkit-0.46a]#makesense　←编译

[root@localhostchkrootkit-0.46a]#cd..　←返回上层目录

[root@localhost~]#cp-rchkrootkit-*/usr/local/chkrootkit　←复制编译后文件所在的目录到指定位置

[root@localhost~]#rm-rfchkrootkit*　 ←删除遗留的源代码目录及相关文件

测试chkrootkit

然后测试 chkrootkit 是否能够正常运行

[root@localhost~]#cd/usr/local/chkrootkit　←进入chkrootkit的目录

[root@localhostchkrootkit]#./chkrootkit|grepINFECTED　←测试运行chkrootkit 稍等片刻…如果没有显示“INFECTED”字样，而直接出现命令行提示符，说明一切OK！

[root@localhostchkrootkit]#cd　 ←回到root用户目录

让chkrootkit的监测自动化

用Shell Script编写一段脚本，通过这个脚本让chkrootkit的监测自动化。如有rootkit被发现的时候，发送邮件通知root用户，并且将运行结果保存在/var/log/messages文件中。

[root@localhost~]#vichkrootkit　←建立chkrootkit自动运行脚本

#!/bin/bash PATH=/usr/bin:/bin

TMPLOG=`mktemp`

#Runthechkrootkit /usr/local/chkrootkit/chkrootkit>$TMPLOG

#Outputthelog cat$TMPLOG|logger-tchkrootkit

#bindsheofSMTPSllHowtodosomewrongs if[!-z”$(grep465$TMPLOG)”]&&\ [-z$(/usr/sbin/lsof-i:465|grepbindshell)];then sed-i’/465/d’$TMPLOG fi

#Iftherootkithavebeenfound,mailroot [!-z”$(grepINFECTED$TMPLOG)”]&&\ grepINFECTED$TMPLOG|mail-s”chkrootkitreportin`hostname`”root rm-f$TMPLOG

[root@localhost~]#chmod700chkrootkit　←赋予脚本可被执行的权限

[root@localhost~]#mvchkrootkit/etc/cron.daily/　 ←将脚本移动到每天自动运行的目录中

chkrootkit相关的系统命令的备份

如前言所述，当chkrootkit使用的系统命令被入侵者更改后，chkrootkit对 rootkit的监测将失效。所以，我们事前将chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始命令，让chkrootkit 对 rootkit进行检测。

[root@localhost~]#mkdir/root/commands/　←建立暂时容纳命令备份的目录

[root@localhost~]#cp`which–skip-aliasawkcutechoegrepfindheadidlsnetstatpsstringsseduname`/root/commands/　←（连续输入无换行）备份系统命令到建立好的目录

[root@localhost~]#/usr/local/chkrootkit/chkrootkit-p/root/commands|grepINFECTED　 ←用备份的命令运行chkrootkit [root@localhost~]#tarcvf/root/commands.tar/root/commands/　←将命令打包

[root@localhost~]#gzip/root/commands.tar　←将打包的文件压缩然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方

[root@localhost~]#rm-rfcommands*　 ←为安全起见，删除服务器端备份的系统命令及相关文件

如果以后想通过备份的原始系统命令来运行chkrootkit的时候，只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩，然后运行在chkrootkit的时候指定相应的目录即可。例如，假设已经将备份上传至root用户目录的情况如下：

然后在运行后删除相应遗留文件即可。

转载请注明：IT运维空间 » 安全防护 » 入侵监测系统的构建(chkrootkit)