入侵监测系统的构建（chkrootkit）

《入侵监测系统的构建（chkrootkit）》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、入侵监测系统的构建（chkrootkit）～教育资源库　　所谓rootkit，是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉，通过这类工具，入侵者建立了一条能够总能够入侵系统，或者说对系统进行实时控制的途径。所以，我们用自由软件chkrootkit来建立入侵监测系统，来保证对系统是否被安装了rootkit进行监测。　　chkrootkit在监测rootkit是否被安装的过程中，需要使用到一些操作系统本身的命令。但不排除一种情况，那就是入侵者有针对性的已经将chkrootkit使用的系统命令也做修改，使得chkrootki

2、t无法监测rootkit，从而达到即使系统安装了chkrootkit也无法检测出rootkit的存在，从而依然对系统有着控制的途径，而达到入侵的目的。那样的话，用chkrootkit构建入侵监测系统将失去任何意义。对此，我们在操作系统刚被安装之后，或者说服务器开放之前，让chkrootkit就开始工作。而且，在服务器开放之前，备份chkrootkit使用的系统命令，在一些必要的时候（怀疑系统命令已被修改的情况等等），让chkrootkit使用初始备份的系统命令进行工作。　　安装chkrootkit首先来下载和安装chkrootkit工具。[

3、rootlocalhost~]#ous...Loggedin!==>SYST...done.==>PPLOG=`mktemp`　　#Runthechkrootkit/usr/local/chkrootkit/chkrootkit>$TMPLOG　　#Outputthelogcat$TMPLOG

4、logger-tchkrootkit　　#bindsheofSMTPSllHoep;[-z$(/usr/sbin/lsof-i:465

5、grepbindshell)];thensed-i'/465/d'$TMPLOG

6、fi　　#Iftherootkithavebeenfound,mailroot[!-z$(grepINFECTED$TMPLOG)]grepINFECTED$TMPLOG

7、mail-schkrootkitreportin`hostname`rootrm-f$TMPLOG[rootlocalhost~]#chmod700chkrootkit　←赋予脚本可被执行的权限[rootlocalhost~]#mvchkrootkit/etc/cron.daily/　←将脚本移动到每天自动运行的目录中chkrootkit相关的系统命令

8、的备份　　如前言所述，当chkrootkit使用的12下一页友情提醒：，特别！系统命令被入侵者更改后，chkrootkit对rootkit的监测将失效。所以，我们事前将chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始命令，让chkrootkit对rootkit进行检测。[rootlocalhost~]#mkdir/root/mands/　←建立暂时容纳命令备份的目录[rootlocalhost~]#cp`e`/root/mands/　←（连续输入无换行）备份系统命令到建立好的目录[rootlocal

9、host~]#/usr/local/chkrootkit/chkrootkit-p/root/mands

10、grepINFECTED　←用备份的命令运行chkrootkit[rootlocalhost~]#tarcvf/root/mands.tar/root/mands/　←将命令打包[rootlocalhost~]#gzip/root/mands.tar　←将打包的文件压缩然后将压缩后的mands.tar.gz用SCP软件下载到安全的地方[rootlocalhost~]#rm-rfmands*　←为安

11、全起见，删除服务器端备份的系统命令及相关文件　　如果以后想通过备份的原始系统命令来运行chkrootkit的时候，只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩，然后运行在chkrootkit的时候指定相应的目录即可。例如，假设已经将备份上传至root用户目录的情况如下：[rootlocalhost~]#tarzxvf/root/mands.tar.gz　←解开压缩的命令备份[rootlocalhost~]#/usr/local/chkrootkit/chkrootkit-p/root/mands

12、grep

13、INFECTED　←用备份的命令运行chkrootkit　　然后在运行后删除相应遗留文件即可。上一页12友情提醒：，特别！