chkrootkit
1、安装:wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
#tar zxvf chkrootkit.tar.gz
#cd chkrootkit*
#make sense
#cd ..
#cp -r chkrootkit* /usr/local/chkrootkit
#
2、运行检测:
#/usr/local/chkrootkit/chkrootkit
得到的结果全是INFECTED的全被感染了。
3、chkrootkit参数说明
Usage: ./chkrootkit [options] [test ...]
Options:
-h 显示帮助信息
-V 显示版本信息
-l 显示测试内容
-d debug模式,显示检测过程的相关指令程序
-q 安静模式,只显示有问题部分,
-x 高级模式,显示所有检测结果
-r dir 设定指定的目录为根目录
-p dir1:dir2:dirN 检测指定目录
-n 跳过NFS连接的目录
rootkit hunter
下载 wget http://downloads.sourceforge.net/rkhunter/rkhunter-1.3.4.tar.gz?use_mirror=jaist
1、安装
#tar -zxvf rkhunter-1.3.4.tar.gz
#cd rkhunter-1.3.4
#./installer.sh -h(安装帮助)
Usage: ./installer.sh <parameters>
Ordered valid parameters:
--help (-h) : 显示帮助
--examples : 显示安装实例
--layout <value> : 选择安装模板(安装必选参数).
模板选择:
- default: (FHS compliant),
- /usr,
- /usr/local,
- oldschool: 之前版本安装路径,
- custom: 自定义安装路径,
- RPM: for building RPM's. Requires $RPM_BUILD_ROOT.
- DEB: for building DEB's. Requires $DEB_BUILD_ROOT.
--striproot : Strip path from custom layout (for package maintainers).
--install : 根据选择目录安装
--show : 显示安装路径
--remove : 卸载rkhunter
--version : 显示安装版本
使用的安装指令
#./installer.sh --layout default --install
2、 rkhunter操作
#/usr/local/bin/rkhunter --propupd
#/usr/local/bin/rkhunter -c --sk -rwo
检测后带有“waring”,表示有异常。
如果让程序每天定时检测,加入到crontab里去就可以(每天9点半运行一次)
09 3 * * * root /usr/local/bin/rkhunter --check --cronjob
指令参数说明
#/usr/local/bin/rkhunter
Usage: rkhunter {--check | --update | --versioncheck |
--propupd [{filename | directory | package name},...] |
--list [{tests | {lang | languages} | rootkits},...] |
--version | --help} [options]
Current options are:
--append-log 在日志文件后追加日志,而不覆盖原有日志
--bindir <directory>... Use the specified command directories
-c, --check 检测当前系统
--cs2, --color-set2 Use the second color set for output
--configfile <file> 使用特定的配置文件
--cronjob 作为cron定期运行
(包含参数 -c, --sk , --nocolors )
--dbdir <directory> Use the specified database directory
--debug Debug模式(不要使用除非要求使用)
--disable <test>[,<test>...] 跳过指定检查对象(默认为无)
--display-logfile 在最后显示日志文件内容
--enable <test>[,<test>...] 对指定检测对象进行检查
(默认检测所有对象)
--hash {MD5 | SHA1 | NONE | 使用指定的文件哈希函数
<command>} (Default is SHA1)
-h, --help 显示帮助菜单
--lang, --language <language> 指定使用的语言
(Default is English)
--list [tests | languages | 罗列测试对象明朝,使用语言,可检测的木马程序
rootkits]
-l, --logfile [file] 写到指定的日志文件名
(Default is /var/log/rkhunter.log)
--noappend-log 不追加日志,直接覆盖日志文件
--nocolors 输出只显示黑白两色
--nolog 不写入日志文件
--nomow, --no-mail-on-warning 如果有警告信息,不发送邮件
--ns, --nosummary 不显示检查结果的统计数据
--novl, --no-verbose-logging 不显示详细记录
--pkgmgr {RPM | DPKG | BSD | 使用特定的包管理用于文件的哈希值验证
NONE} (Default is NONE)
--propupd [file | directory | 更新整个文件属性数据库或仅仅更新指定条目
package]...
-q, --quiet 安静模式(no output at all)
--rwo, --report-warnings-only 只显示警告信息
-r, --rootdir <directory> 使用指定的root目录
--sk, --skip-keypress 自动完成所有检测,跳过键盘输入
--summary 显示检测结果的统计信息
(This is the default)
--syslog [facility.priority] 记录检测启动和结束时间到系统日志中
(Default level is authpriv.notice)
--tmpdir <directory> 使用指定的临时目录
--update 检测更新内容
--vl, --verbose-logging 使用详细日志记录 (on by default)
-V, --version 显示版本信息
--versioncheck 检测最新版本
-x, --autox 当X在使用时,自动启动检测
-X, --no-autox 当X在使用时,不自启检测
受到攻击后处理方式:
1、切断网络
2、查找攻击源,一般是查看相关日志,端口,运行程序等
3、分析入侵原因与途经
4、备份用户数据
5、重新安装系统
6、修复程序或漏洞
7、恢复数据与网络
方法:
1、w命令,查看登录过的用户
2、锁定用户,并强制下线
#passwd -l nobody
#ps- ef |grep @pts/3(用户怕TTY)
#kill -9 6021
3、关闭可疑的进程,ps,top出来后,kill掉
#pidof abc
13256 15698 5654
#ls -al /proc/13256/exe #进入内存目录查找
#ls -al /proc/13256/fd #查看文件句柄
4、检查文件系统的完整性:
#rpm -Va
S表示长度发生了变化
M表示访问权限或文件类型发生了变化
5表示md5检验发生了变化
D表示设备节点属性发生了变化
L表示符号连接发生变化
U表示文件、子目录、设备节点的owner发生了变化
G表示文件、子目录、设备节点的group发生了变化
T表示最后一次修改时间发生了变化