本文介绍了如何在Linux系统中检测和防范rootkit后门程序,包括使用chkrootkit和RKHunter工具进行系统检查,以及防火墙软件的配置和使用。通过这些方法,可以有效地保护系统免受黑客攻击,确保服务器的安全状态。
前言
那什么,额不是最近国庆吗?因为疫情的缘故,我们都在家中,但发生了这么一件事,看到标题你应该知道是什么了,我被黑了!!!咳咳咳,不能说是被黑了,只能说是我下载了一个后门软件,对后门软件,比如说灰鸽子,流光这种,那边的黑客远程控制了我,我知道,这是最基础的软件了。但是我还是中了,最后,我的账号,密码都被盗取。很难受对吧,所以我写个这个文章。
如何防护这种后门,木马?
很容易,不去下载就好了。哎,你这不是废话吗?咳咳,最好的方法,360。360?你在说什么?360不是毒瘤吗?360云大脑知道吗?虽然这个东西经常抽风,说这个是木马,那个是病毒。但是不去理就好了。不然你可试试不装360会怎么样,首先,我们要知道360的重要性,不然你可以换成卡巴斯基。咳咳,进入正题
360只是第一种方法
第二种linux,比如说ubuntu,本文用CentOS系统演示
防火墙软件,比如说天网
还有最后一个方法,按我说的做
第一种方法:360,腾讯电脑管家,火绒,卡巴斯基等杀毒
360你不会装吗?笨蛋,自己找教程。
第二种方法:Linux下chkrootkit+RKHunter直接性防护
第二种方法开始。rootkit听说过吗?没有就百度去
- 文件级别rootkit
文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等,其中login程序是最经常被替换的,因为当访问Linux时,无论是通过本地登录还是远程登录,/bin/login程序都会运行,系统将通过/bin/login来收集并核对用户的账号和密码,而rootkit就是利用这个程序的特点,使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login,这样攻击者通过输入设定好的密码就能轻松进入系统。此时,即使系统管理员修改root密码或者清除root密码,攻击者还是一样能通过root用户登录系统。攻击者通常在进入Linux系统后,会进行一系列的攻击动作,最常见的是安装嗅探器收集本机或者网络中其他服务器的重要数据。在默认情况下,Linux中也有一些系统文件会监控这些工具动作,例如ifconfig命令,所以,攻击者为了避免被发现,会想方设法替换其他系统文件,常见的就是ls、ps、ifconfig、du、find、netstat等。如果这些文件都被替换,那么在系统层面就很难发现rootkit已经在系统中运行了。
这就是文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如果发现文件被修改或者被替换,那么很可能系统已经遭受了rootkit入侵。检查件完整性的工具很多,常见的有Tripwire、 aide等,可以通过这些工具定期检查文件系统的完整性,以检测系统是否被rootkit入侵。
- 内核级别的rootkit
内核级rootkit是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序,也就是说,当用户要运行程序A时,被入侵者修改过的内核会假装执行A程序,而实际上却执行了程序B。
内核级rootkit主要依附在内核上,它并不对系统文件做任何修改,因此一般的检测工具很难检测到它的存在,这样一旦系统内核被植入rootkit,攻击者就可以对系统为所欲为而不被发现。目前对于内核级的rootkit还没有很好的防御工具,因此,做好系统安全防范就非常重要,将系统维持在最小权限内工作,只要攻击者不能获取root权限,就无法在内核中植入rootkit。
- 主题
了解,安装,准备,使用chkrootkit
chkrootkit是一个Linux系统下查找并检测rootkit后门的工具,它的官方址: http://www.chkrootkit.org/。 chkrootkit没有包含在官方的CentOS源中,因此要采取手动编译的方法来安装,不过这种安装方法也更加安全。下面简单介绍下chkrootkit的安装过程。
准备gcc编译环境
对于CentOS系统,需要安装gcc编译环境,执行下述三条命令:
yum -y install gcc
yum -y install gcc-c++
yum -y install make
安装gcc,g++,CMake
安装chkrootkit
为了安全起见,建议直接从官方网站下载chkrootkit源码,然后进行安装,操作如下:
tar zxvf chkrootkit.tar.gz
cd chkrootkit-*
make sense
注意,上面的编译命令为make sense
使用chkrootkit
安装完的chkrootkit程序位于/usr/local/chkrootkit目录下,执行如下命令即可显示chkrootkit的详细用法:
/usr/local/chkrootkit/chkrootkit -h #显示帮助信息
chkrootkit各个参数的含义如下所示。
命令 作用
-h 显示帮助信息
-v 显示版本信息
-ddebug ddebug模式,显示检测过程的相关指令程序
-q 安静模式,只显示有问题的内容
-x 高级模式,显示所有检测结果
-r dir设置指定的目录为根目录
-p dir1:dir2:dirN指定chkrootkit检测时使用系统命令的目录
-n 跳过NFS连接的目录
chkrootkit的使用比较简单,直接执行chkrootkit命令即可自动开始检测系统。下面是某个系统的检测结果:
[root@server chkrootkit] # /usr/local/chkrootkit/chkrootkit
Checking ifconfig '... INFECTED Checking ls ‘… INFECTED
Checking login'... INFECTED Checking netstat ‘… INFECTED
Checking ps '... INFECTED Checking top ‘… INFECTED
Checking sshd'... no
最低0.47元/天 解锁文章
扫一扫
2365
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
