Linux後門入侵檢測工具
Linux後門入侵檢測工具
安全運維之:Linux後門入侵檢測工具,附bash漏洞最終解決方法
推薦:10年技術力作:《高性能Linux伺服器建構實戰Ⅱ》全網發行,附試讀章節和全書執行個體源碼下載下傳!
一、rootkit簡介
rootkit是Linux平台下最常見的一種木馬後門工具,它主要通過替換系統檔案來達到入侵和和隐蔽的目的,這種木馬比普通木馬後門更加危險和隐蔽,
普通的檢測工具和檢查手段很難發現這種木馬。rootkit攻擊能力極強,對系統的危害很大,它通過一套工具來建立後門和隐藏行迹,進而讓攻擊者保
住權限,以使它在任何時候都可以使用root權限登入到系統。
rootkit主要有兩種類型:檔案級别和核心級别,下面分别進行簡單介紹。
1、檔案級别rootkit
檔案級别的rootkit一般是通過程式漏洞或者系統漏洞進入系統後,通過修改系統的重要檔案來達到隐藏自己的目的。在系統遭受rootkit攻擊後,合法
的檔案被木馬程式替代,變成了外殼程式,而其内部是隐藏着的後門程式。通常容易被rootkit替換的系統程式有login、ls、ps、ifconfig、du、find
、netstat等,其中login程式是最經常被替換的,因為當通路Linux時,無論是通過本地登入還是遠端登入,/bin/login程式都會運作,系統将通過
/bin/login來收集并核對使用者的賬号和密碼,而rootkit就是利用這個程式的特點,使用一個帶有根權限後門密碼的/bin/login來替換系統的
/bin/login,這樣攻擊者通過輸入設定好的密碼就能輕松進入系統。此時,即使系統管理者修改root密碼或者清除root密碼,攻擊者還是一樣能通過
root使用者登入系統。攻擊者通常在進入Linux系統後,會進行一系列的攻擊動作,最常見的是安裝嗅探器收集本機或者網絡中其他伺服器的重要資料。
在預設情況下,Linux中也有一些系統檔案會監控這些工具動作,例如ifconfig指令,是以,攻擊者為了避免被發現,會想方設法替換其他系統檔案,
常見的就是ls、ps、ifconfig、du、find、netstat等。如果這些檔案都被替換,那麼在系統層面就很難發現rootkit已經在系統中運作了。
這就是檔案級别的rootkit,對系統維護很大,目前最有效的防禦方法是定期對系統重要檔案的完整性進行檢查,如果發現檔案被修改或者被替換,
那麼很可能系統已經遭受了rootkit入侵。檢查件完整性的工具很多,常見的有Tripwire、 aide等,可以通過這些工具定期檢查檔案系統的完整性,
以檢測系統是否被rootkit入侵。
2、核心級别的rootkit
核心級rootkit是比檔案級rootkit更進階的一種入侵方式,它可以使攻擊者獲得對系統底層的完全控制權,此時攻擊者可以修改系統核心,進而截獲
運作程式向核心送出的指令,并将其重定向到入侵者所選擇的程式并運作此程式,也就是說,當使用者要運作程式A時,被入侵者修改過的核心會假裝
執行A程式,而實際上卻執行了程式B。
核心級rootkit主要依附在核心上,它并不對系統檔案做任何修改,是以一般的檢測工具很難檢測到它的存在,這樣一旦系統核心被植入rootkit,攻
擊者就可以對系統為所欲為而不被發現。目前對于核心級的rootkit還沒有很好的防禦工具,是以,做好系統安全防範就非常重要,将系統維持在最小
權限内工作,隻要攻擊者不能擷取root權限,就無法在核心中植入rootkit。
二、rootkit後門檢測工具chkrootkit
chkrootkit是一個Linux系統下查找并檢測rootkit後門的工具,它的官方址: /。 chkrootkit沒有包含在官方的CentOS源
中,是以要采取手動編譯的方法來安裝,不過這種安裝方法也更加安全。下面簡單介紹下chkrootkit的安裝過程。
1.準備gcc編譯環境
對于CentOS系統,需要安裝gcc編譯環境,執行下述三條指令:
[[email protected] ~]# yum -y install gcc
[[email protected] ~]# yum -y install gcc-c++
[[email protected] ~]# yum -y install make
2、安裝chkrootkit
為了安全起見,建議直接從官方網站下載下傳chkrootkit源碼,然後進行安裝,操作如下:
[[email protected] ~]# tar zxvf chkrootkit.tar.gz
[[email protected] ~]# cd chkrootkit-*
[[email protected] chkrootkit-0.50]# make sense
# 注意,上面的編譯指令為make sense
[[email protected] chkroot