所谓 rootkit ,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够常时入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件 chkrootkit 来建立入侵监测系统,来保证对系统是否被安装了 rootkit 进行监测。 首先来下载和安装 chkrootkit 工具。 下载地址: [root@sample ~]# tar zxvf chkrootkit.tar.gz ← 展开被压缩的源代码 [root@sample ~]# cd /usr/local/chkrootkit ← 进入chkrootkit的目录 用Shell Script编写一段脚本,通过这个脚本让chkrootkit的监测自动化。如有rootkit被发现的时候,发送邮件通知root用户,并且将运行结果保存在/var/log/messages文件中。 [root@sample ~]# vi chkrootkit ← 建立chkrootkit自动运行脚本
chkrootkit 在监测 rootkit 是否被安装的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将 chkrootkit 使用的系统命令也做修改,使得 chkrootkit 无法监测 rootkit ,从而达到即使系统安装了 chkrootkit 也无法检测出 rootkit 的存在,从而依然对系统有着控制的途径,而达到入侵的目的。那样的话,用 chkrootkit 构建入侵监测系统将失去任何意义。对此,我 们在操作系统刚被安装之后,或者说服务器开放之前,让 chkrootkit 就开始工作。而且,在服务器开放之前,备份 chkrootkit 使用的系统命 令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让 chkrootkit 使用初始备份的系统命令进行工作。
[root@sample ~]# cd chkrootkit* ← 进入chkrootkit源代码的目录
[root@sample chkrootkit-0.46a]# make sense ← 编译
[root@sample chkrootkit-0.46a]# cd .. ← 返回上层目录
[root@sample ~]# cp -r chkrootkit-* /usr/local/chkrootkit ← 复制编译后文件所在的目录到指定位置
[root@sample ~]# rm -rf chkrootkit* ← 删除遗留的源代码目录及相关文件
[root@sample chkrootkit]# ./chkrootkit grep INFECTED ← 测试运行chkrootkit
稍等片刻…如果没有显示“INFECTED”字样,而直接出现命令行提示符,说明一切OK!
#!/bin/bash
