linux入侵後的必要工作。及rootkit的監測工具rkhunter簡析

 rootkit是是Linux平台下最常見的一種木馬後門工具，它主要通過替換系統檔案來達到入侵和和隐蔽的目的，這種木馬比普通木馬後門更加危險和隐蔽，普通的檢測工具和檢查手段很難發現這種木馬。

    一般分為檔案級别和核心級别：

        檔案級别的rootkit一般是通過程式漏洞或者系統漏洞進入系統後，通過修改系統的重要檔案來達到隐藏自己的目的。

        核心級rootkit是比檔案級rootkit更進階的一種入侵方式，它可以使攻擊者獲得對系統底層的完全控制權，此時攻擊者可以修改系統核心，進而截獲運作程式向核心送出的指令，并将其重定向到入侵者所選擇的程式并運作此程式。一般系統鏡像要從官網或可信度高的網站下載下傳鏡像。

   rootkit後門檢測工具RKHunter

   RKHunter 是檢測rootkit而生的，主要功能；

      MD5校驗測試，檢測檔案是否有改動

       檢測rootkit使用的二進制和系統工具檔案

      檢測特洛伊木馬程式的特征碼

      檢測常用程式的檔案屬性是否異常

      檢測系統相關的測試

      檢測隐藏檔案

      檢測可疑的核心子產品LKM

      檢測系統已啟動的監聽端口

    RKHunter 的下載下傳：wget https://sourceforge.net/projects/rkhunter/files/latest/download --no-check-certificate

    安裝；

    tar xf rkhunter-1.4.2.tar.gz

    cd rkhunter-1.4.2

    ./installer.sh --install

    使用 ：rkhunter -c

    常用選項：--check  檢查

            --skip-keypress  一般每項檢查後都會停下來等待輸入回車繼續。加入這個選項可以自動執行完成,不在需要鍵入Enter鍵。

             --cronjob   定制 任務計劃       

    會監測以下幾個部分：

        Checking system commands...

        Checking for rootkits...

        Checking the network...

        Checking the local host...

        Checking application versions...

    最後會把監測過程和報告寫入  /var/log/rkhunter.log 檔案。

    這裡可以制作腳本啟動來監測：

        crontab -e

        30 1 * * * /usr/local/bin/rkhunter --check --cronjob

伺服器操作攻擊後的措施：

    一般，出現帶寬流量異常。如果切斷較高流量的伺服器後帶寬流量正常。可以證明伺服器被入侵。

    1.切斷被入侵伺服器的網絡

    如果已經安裝了rkhunter 可以先檢視下日志。或者運作下檢視結果。

        1.查找入侵源；

        可以檢視系統日志  /var/log/message   和 登入伺服器的日志 /var/log/secure

        dmesg 指令檢視：

        dmesg指令被用于檢查和控制核心的環形緩沖區。kernel會将開機資訊存儲在ring buffer中。您若是開機時來不及檢視資訊，可利用dmesg來檢視。開機資訊儲存在/var/log/dmesg檔案

        1.1檢視開啟端口 ：  netstat  -ltunp

        1.2檢視系統負載： top  指令      檢視 TIME+ 這個列 包含程式運作的累計時間。

        1.3檢視程序； ps -ef   

        一般系統的程序都有 [] 包含   。安裝的程式都有位置。 特别需要注意的是 隐藏檔案 "."開頭的檔案。 找到位置的話。可以用  ls -a 檢視隐藏檔案

        1.4檢視  /proc

        Linux系統上的/proc目錄是一種檔案系統，即proc檔案系統。與其它常見的檔案系統不同的是，/proc是一種僞檔案系統（也即虛拟檔案系統），存儲的是目前核心運作狀态的一系列特殊檔案，使用者可以通過這些檔案檢視有關系統硬體及目前正在運作程序的資訊，甚至可以通過更改其中某些檔案來改變核心的運作狀态。

        這裡需要檢視pid 可以通過指令# pidof  服務名

        或者聯合 ps -ef   (檢視pid)  # ps -ef | awk '{print $2,$8}'  # ps -ef | awk '{print $2 "\t" $8}'

        #ll  /proc/pid/exe

        exe — 指向啟動目前程序的可執行檔案（完整路徑）的符号連結，通過/proc/N/exe可以啟動目前程序的一個拷貝

        #ll  /proc/pid/fd

        fd — 這是個目錄，包含目前程序打開的每一個檔案的檔案描述符（file descriptor），這些檔案描述符是指向實際檔案的一個符号連結

        1.5 檢視histtory  指令記錄

           more  .bash_history

    2.如果業務不可以停。首要是查找可以使用者。把使用者鎖定。

    3.分析入侵原因和途徑

    4.備份使用者資料（注意的是。檢視先是否有隐藏的攻擊源）

    5.重新安裝系統

    6.修複程式或漏洞

    7.恢複資料和連接配接網絡。

本文轉自 swallow_zys  51CTO部落格，原文連結：http://blog.51cto.com/12042068/1897576，如需轉載請自行聯系原作者