linux系统RootKit木马查杀

rootkit是一种恶意软件通常和木马等其他恶意程序一起结合使用，而Linux是其重要的攻击对象。

 

Rootkit木马的原理：

   操作系统是由内核（kernel）和外壳（shell）两部分组成的，内核负责一切实际的工作，包括cpu任务调度、内存分配管理、设备管理、文件操作等，外壳是基于内核提供的交互功能而存在的界面，它负责指令传递和解释。由于内核和外壳负责的任务不同，它们的处理环境也不同，因此处理器提供了多个不同的处理环境，把它们称为运行级别（ring），ring让程序指令能访问的计算机资源依次逐级递减，目的在于保护计算机遭受意外损害——内核运行于ring 0级别，拥有最完全最底层的管理功能。

而到了外壳部分，它只能拥有ring 3级别，这个级别能操作的功能极少，几乎所有指令都需要传递给内核来决定能否执行，一旦发现有可能对系统造成破坏的指令传递（例如超越指定范围的内存读写），内核便返回一个“非法越权”标志，发送这个指令的程序就有可能被终止运行，这就是大部分常见的“非法操作”的由来，这样做的目的是为了保护计算机免遭破坏，如果外壳和内核的运行级别一样，用户一个不经意的点击都有可能破坏整个系统。
   由于ring的存在，除了由系统内核加载的程序以外，由外壳调用执行的一般程序都只能运行在ring 3级别，也就是说，它们的操作指令全部依赖于内核授权的功能，一般的进程查看工具和杀毒软件也不例外，由于这层机制的存在，我们能看到的进程其实是内核 “看到”并通过相关接口指令反馈到应用程序的。

   这样就不可避免的存在一条数据通道，虽然在一般情况下它是难以被篡改的，但是不能避免意外的发生，Rootkit正是“制造”这种意外的程序。简单的说，Rootkit实质是一种“越权执行”的应用程序，它设法让自己达到和内核一样的运行级别，甚至进入内核空间，这样它就拥有了和内核一样的访问权限，因而可以对内核指令进行修改，最常见的是修改内核枚举进程的api，让它们返回的数据始终 “遗漏”Rootkit自身进程的信息，一般的进程工具自然就“看”不到Rootkit了。更高级的Rootkit还篡改更多api，这样，用户就看不到进程（进程api被拦截），看不到文件（文件读写api被拦截），看不到被打开的端口（网络组件sock api被拦截），更拦截不到相关的网络数据包（网络组件ndis api被拦截）了。

 

   Rootkit是利用内核和ring 0配合的欺骗，我们同样也能使用可以“越权”的检查程序，绕过api提供的数据，直接从内核领域里读取进程列表，因为所有进程在这里都不可能把自己隐藏，除非它已经不想运行了。

   也就是说，内核始终拥有最真实的进程列表和主宰权，只要能读取这个原始的进程列表，再和进程api枚举的进程列表对比，便能发现Rootkit进程，由于这类工具也“越权”了，因而对Rootkit进行查杀也就不再是难事，而Rootkit进程一旦被清除，它隐藏自身的措施也就不复存在。

相关工具 icesword、patchfinder、gdb

 

 

chkrootkit

网址： http://www.chkrootkit.org

rkhunter

网址： http://rkhunter.sourceforge.net

二、病毒查杀

Clamav

ClamAV 的官方下载地址为： http://www.clamav.net/download.html

安装方式一：

登录成功的日期、用户名、 IP ：

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

3 、增加一个用户 kali 日志：

Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001

Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001,

home=/home/kali

, shell=/bin/bash

Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali

#grep "useradd" /var/log/secure

4 、删除用户 kali 日志：

Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'

Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'

Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'

# grep "userdel" /var/log/secure

5 、 su 切换用户：

Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by

root(uid=0)

sudo 授权执行 :

sudo -l

Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ;

COMMAND=/sbin/shutdown -r now

使用方法：

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

tar zxvf chkrootkit.tar.gz

cd chkrootkit-0.52

make sense

# 编译完成没有报错的话执行检查

./chkrootkit

使用方法：

Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-

1.4.4.tar.gz

tar -zxvf rkhunter-1.4.4.tar.gz

cd rkhunter-1.4.4

./installer.sh --install

rkhunter -c

 

1 、安装 zlib ： wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

tar -zxvf zlib-1.2.7.tar.gz

cd zlib-1.2.7

# 安装一下 gcc 编译环境： yum install gcc

CFLAGS="-O3 -fPIC" ./configure --prefix= /usr/local/zlib/

make && make install

 

2 、添加用户组 clamav 和组成员 clamav ：

groupadd clamav

useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

3 、安装 Clamav

tar –zxvf clamav-0.97.6.tar.gz

cd clamav-0.97.6

./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib

make

make install

4 、配置 Clamav

mkdir /opt/clamav/logs

mkdir /opt/clamav/updata

touch /opt/clamav/logs/freshclam.log

touch /opt/clamav/logs/clamd.log

cd /opt/clamav/logs

chown clamav:clamav clamd.log

chown clamav:clamav freshclam.log

 

5 、 ClamAV 使用：

/opt/clamav/bin/freshclam 升级病毒库

./clamscan –h 查看相应的帮助信息

./clamscan -r /home 扫描所有用户的主目录就使用

./clamscan -r --bell -i /bin 扫描 bin 目录并且显示有问题的文件的扫描结果

安装方式二：

# 安装

yum install -y clamav

# 更新病毒库

freshclam

# 扫描方法

clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log

clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log

clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log

# 扫描并杀毒

clamscan -r --remove /usr/bin/bsd-port

clamscan -r --remove /usr/bin/

clamscan -r --remove /usr/local/zabbix/sbin

# 查看日志发现

cat /root/usrclamav.log |grep FOUND