设为主页

收藏本站

当前位置: > 首页 ->Linux技术 ->发行版专区 ->CentOS ->入侵监测系统的构建（chkrootkit ）

相关分类：

站内搜索：

CentOS4.4（32位）完美安装过程 (04-22)
《社区操作系统》(CentOS 5)V5.0[ISO(04-20)
CentOS系统安装后的初始环境设置 (04-22)
CentOS安装及初始环境设置 (04-22)
在CentOS 4.4上安装配置OpenVZ (04-22)

用SSH客户端软件登录到服务器 (04-22)
CentOS下用OpenSSH构建SSH服务器 (04-22)
入侵监测系统的构建（chkrootkit ） (04-22)
在CentOS 4.4上安装配置OpenVZ (04-22)
使用Bastille完美加固CentOS Linux系(04-22)

·CentOS下用OpenSSH构建SSH服务器 ·入侵监测系统的构建（chkrootkit ） ·在CentOS 4.4上安装配置OpenVZ ·使用Bastille完美加固CentOS Linux系统 ·CentOS系统安装后的初始环境设置 ·CentOS安装及初始环境设置 ·CentOS4.4（32位）完美安装过程 ·centos配置 apache、php、jdk、resin ·《社区企业操作系统》(CentOS (Community

入侵监测系统的构建（chkrootkit ）

作者:Centos　来源:linux.chinaunix.net 点击: 日期:2007-04-22 [收藏] [投稿]

IE是否经常中毒？推荐您

[root@localhost ~]# vi chkrootkit　 ← 建立chkrootkit自动运行脚本

#!/bin/bash

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

# Run the chkrootkit
/usr/local/chkrootkit/chkrootkit > $TMPLOG

# Output the log
cat $TMPLOG | logger -t chkrootkit

# bindshe of SMTPSllHow to do some wrongs
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi

# If the rootkit have been found,mail root
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

rm -f $TMPLOG

[root@localhost ~]# chmod 700 chkrootkit　 ← 赋予脚本可被执行的权限

[root@localhost ~]# mv chkrootkit /etc/cron.daily/　 ← 将脚本移动到每天自动运行的目录中

chkrootkit 相关的系统命令的备份

　　如前言所述，当chkrootkit使用的系统命令被入侵者更改后，chkrootkit对 rootkit的监测将失效。所以，我们事前将chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始命令，让chkrootkit 对 rootkit进行检测。

[root@localhost ~]# mkdir /root/commands/　 ← 建立暂时容纳命令备份的目录

[root@localhost ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/　 ← （连续输入无换行）备份系统命令到建立好的目录

[root@localhost ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED　 ← 用备份的命令运行chkrootkit

[root@localhost ~]# tar cvf /root/commands.tar /root/commands/　← 将命令打包

[root@localhost ~]# gzip /root/commands.tar　 ← 将打包的文件压缩
然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方

[root@localhost ~]# rm -rf commands* 　 ← 为安全起见，删除服务器端备份的系统命令及相关文件

　　如果以后想通过备份的原始系统命令来运行chkrootkit的时候，只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩，然后运行在chkrootkit的时候指定相应的目录即可。例如，假设已经将备份上传至root用户目录的情况如下：

[root@localhost ~]# tar zxvf /root/commands.tar.gz　 ← 解开压缩的命令备份

[root@localhost ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED　← 用备份的命令运行chkrootkit

　　然后在运行后删除相应遗留文件即可。

如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 2下一页

上一篇：在CentOS 4.4上安装配置OpenVZ 下一篇：CentOS下用OpenSSH构建SSH服务器

【文章评论】【收藏本文】【推荐好友】【打印本文】【我要投稿】【论坛讨论】

·用SSH客户端软件登录到服务器

文章评论:(1条)

请留名：匿名评论点击查看所有评论论坛讨论

声明：刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。

关于我们 - 管理团队 - 网站历史 - 联系我们 - 广告服务 - 法律声明 - 网站地图 - RSS订阅 - 返回顶部

入侵监测系统的构建（chkrootkit ）

作者:Centos 来源:linux.chinaunix.net 点击: 日期:2007-04-22 [收藏] [投稿]

作者:Centos　来源:linux.chinaunix.net 点击: 日期:2007-04-22 [收藏] [投稿]