当前位置:主页 > 资讯 > 站长杂谈 >

蓝月亮二四六精选资料 大全-Linux服务器安全运维:后门入侵检测
栏目分类:站长杂谈   发布日期:2019-11-27   浏览次数:

下面是第四部分,主要对网络、系统端口、系统启动文件、系统用户和组配置、SSH配置、文件系统等进行检测。 同时,如果想让检测程序每天定时运行,那么可以在/etc/crontab中加入如下内容: rkhunter命令的参数较多,但是使用非常简单,直接运行rkhunter即可显

  下面是第四部分,主要对网络、系统端口、系统启动文件、系统用户和组配置、SSH配置、文件系统等进行检测。

  同时,如果想让检测程序每天定时运行,那么可以在/etc/crontab中加入如下内容:

  rkhunter命令的参数较多,但是使用非常简单,直接运行rkhunter即可显示此命令的用法。下面简单介绍下rkhunter常用的几个参数选项。

  这样,RKHunter检测程序就会在每天的9:30运行一次。返回搜狐,查看更多

  文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等,其中login程序是最经常被替换的,因为当访问Linux时,无论是通过本地登录还是远程登录,/bin/login程序都会运行,系统将通过/bin/login来收集并核对用户的账号和密码,而rootkit就是利用这个程序的特点,使用一个带有根权限后门的/bin/login来替换系统的/bin/login,这样攻击者通过输入设定好的密码就能轻松进入系统。此时,即使系统管理员修改root密码或者清除root密码,攻击者还是一样能通过root用户登录系统。通常攻击者在进入Linux系统后,会进行一系列的攻击动作,最常见的是安装嗅探器收集本机或者网络中其他服务器的重要数据。在默认情况下,Linux中也有一些系统文件会监控这些工具动作,例如ifconfig命令,所以,攻击者为了避免被发现,会想方设法替换其他系统文件,常见的就是ls、ps、ifconfig、du、find、netstat等。如果这些文件都被替换,那么在系统层面就很难发现rootkit已经在系统中运行了。

  下面是第一部分,先进行系统命令的检查,主要是检测系统的二进制文件,因为这些文件最容易被rootkit攻击。显示OK字样表示正常,显示Warning表示有异常,需要引起注意,而显示“Not found”字样,一般无需理会。

  为了安全起见,建议直接从官方网站下载chkrootkit源码,然后进行安装,操作如下:

  从输出结果可以看出,此系统的ifconfig、ls、login、netstat、ps和top命令已经被感染。针对被感染rootkit的系统,最安全而有效的方法就是备份数据并重新安装系统。

  chkrootkit在检查rootkit的过程中使用了部分系统命令,因此,如果服务器被黑客,那么依赖的系统命令可能也已经被入侵者替换,此时chkrootkit的检测结果将变得完全不可信。为了避免chkrootkit的这个问题,可以在服务器对外开放前,事先将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始系统命令让chkrootkit对rootkit进行检测。这个过程可以通过下面的操作实现:

  内核级别是比文件级别更高级的一种方式,它可以使者获得对系统底层的完全控制权,此时者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到者所选择的程序并运行此程序,也就是说,当用户要运行程序A时,被者修改过的内核会假装执行A程序,而实际上却执行了程序B。

  chkrootkit的使用比较简单,直接执行chkrootkit命令即可自动开始检测系统。下面是某个系统的检测结果:

  上面这段操作是在/usr/share/下建立了一个.commands隐藏文件,然后将chkrootkit使用的系统命令进行备份到这个目录下。为了安全起见,可以将.commands目录压缩打包,然后下载到一个安全的地方进行备份,以后如果遭受,就可以将这个备份上传到任意路径下,然后通过chkrootkit命令的“-p”参数指定这个路径进行检测即可。

  下面是最后一部分,这个部分其实是上面输出的一个总结,通过这个总结,可以大概了解服务器目录的安全状态。

  这就是文件级别的rootkit,对系统维护威胁很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如果发现文件被修改或者替换,那么很可能系统已经遭受了rootkit入侵。检查文件完整性的工具很多,常见的有Tripwire、aide等,可以通过这些工具定期检查文件系统的完整性,以检测系统是否被rootkit。

  RKHunter是专业检测系统是否感染的一个工具,它通过执行一系列的脚本来确认是否已经感染。在官方资料中,RKHunter可以做的事情有:

  下面是第三部分,主要是一些特殊或附加的检测,例如对rootkit文件或目录检测、对恶意软件检测以及对指定的内核模块检测。

  在Linux终端使用RKHunter来检测,最大的好处在于每项的检测结果都使用不同的颜色显示,如果是绿色的表示没有问题,如果是红色的,那就要引起关注了。另外,在上面执行检测的过程中,在每个部分检测完成后,需要以Enter键来继续。如果要让程序自动运行,可以执行如下命令:

  rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍。

  下面是第二部分,主要检测常见的程序,显示“Not found”表示系统未感染此。

  后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录系统。

  内核级别主要依附在内核上,它并不对系统文件做任何修改,因此一般的检测工具很难检测到它的存在,这样一旦系统内核被植入,者就可以对系统为所欲为而不被发现。目前针对内核级的还没有很好的防御工具,因此,做好系统安全防范就非常重要,将系统维持在最小权限内工作,只要者不能获取root权限,就无法在内核中植入。

  chkrootkit是Linux系统下查找并检测rootkit的一个工具。chkrootkit没有包含在官方的CentOS源中,因此要采取手动编译的方法来安装,不过这种安装方法也更加安全。下面简单介绍下chkrootkit的安装过程。

相关热词: 网站安全性检测工具

相关内容
Copyright © 2002-2020 www.qinjiaren.com 2019六开彩公开资料 版权所有    粤ICP备88888888号   关于我们 | 广告合作 | 版权声明 | 意见反馈 | 联系方式 | 原创投稿 | 网站地图 |
特效 教程 资源 资讯