入侵检测工具之RKHunter & AIDE

最新推荐文章于 2022-08-11 16:45:09 发布
最新推荐文章于 2022-08-11 16:45:09 发布
阅读量137 收藏
点赞数
文章标签: 数据库 操作系统 运维
原文链接:https://yq.aliyun.com/articles/38589
版权

一、入侵检测工具rkhunter

1rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围。

rootkit hunter功能:

检测易受攻击的文件;

检测隐藏文件;

检测重要文件的权限;

检测系统端口号;

2、安装rkhunter

下载:http://sourceforge.net/projects/rkhunter

1
2
3
4
5
tar  zxvf rkhunter-1.4.0. tar .gz
cd  rkhunter-1.4.0
. /installer .sh – install
vi  /etc/rkhunter .conf
LOGFILE= /tmp/rkhunter/tkhunter_ ` date  +%Y%m%d`.log   #修改生成日志文件位置

3、rkhunter使用

1
2
rkhunter –checkall  #执行rootkit预定库,来检测本地系统文件
rkhunter --checkall--skip-keypress   #--skip-keyperss参数来自动持续检测,一直到结束

4、设置任务计划,定期检测

1
2
crontab  -e
30 08 * * *  /usr/local/bin/rkhunter  --checkall --cronjob   #每天早上08:30执行一次,--cronjobb,作为一个cron运行

二、入侵检测工具aide

1、AIDE一款开源入侵检测工具,主要用途是检查文档的完整性。

AIDE通过构造指定文件的完整性样本库(快照),作为比对标准,当这些文件发生改动时,其对应的校验值也必然随之变化,AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括:权限、属主、属组、文件大小、创建时间、最后修改时间、最后访问时间、增加的大小以及链接数,并能够使用SHA1、MD5等算法为每个文件生成校验码。

2、安装aide

下载:http://sourceforge.net/projects/aide

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
yum  install  aide
vi  /etc/aide .conf
database= file :@@{DBDIR} /aide .db.gz   #系统镜像库位置
database_out= file :@@{DBDIR} /aide .db.new.gz   #新生成系统镜像库,默认在/var/lib/aide/下
# Next decide whatdirectories/files you want in the database.
/boot    NORMAL
/bin     NORMAL
/sbin    NORMAL
/lib     NORMAL
/lib64   NORMAL
#/opt    NORMAL #注释不检查目录
/usr     NORMAL
/root    NORMAL
# These are too volatile ,排除掉个别不检查的目录
! /usr/src
! /usr/tmp
#根据需求在下面添加新的检测目录
/etc/exports   NORMAL
/etc/fstab     NORMAL
/etc/passwd    NORMAL

3、aide使用

1
2
3
4
5
6
7
8
9
aide --init   #初始化,建立第一个样本库
cd  /var/lib/aide/
ls
aide.db.new.gz   #新生成系统aide库
mv  aide.db.new.gz aide.db.gz   #需要重命名后才能使用
aide --check   #确定正常运行aide库
aide --update   #更新库,每次运行此命令,就会生成aide.db.new.gz,然后再重命名
mv  aide.db.new.gz aide.db.gz
mv : overwrite `aide.db.gz'? y

4、aide入侵检测测试

185818869.jpg

我们更改了ftp可以登录系统的属性,使用aide检测,找出了与aide库不一样的文件。

1
aide --check --report= file : /tmp/aide-check- ` date  +%Y%m%d `.txt  #--report是将信息输出到指定文件

5、设置任务计划,定期检测

1
2
crontab  –e
30 08 * * *  /usr/sbin/aide  --check--report= file : /tmp/aide-check- date  +%Y%m%d `.txt  #每天早上08:30执行一次

也可以将信息发送到邮件:

1
30 08 * * *  /usr/sbin/aide  --check| mail –s “AIDE report“  test @163.com

weixin_33890499
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用AIDE工具入侵检测
KHOST的博客
08-05 481
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。 AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。
Linux系统之AIDE入侵检测工具
青柚的博客
06-19 1983
AIDE简介: AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。能够使用下列算法:sha1、 md5、 rmd160、 tiger,以密文形式建立每个文件的校验码或散列号. 附上一个连接以供详细了解: Linux公社——入侵检测工具 简单使用: 1、挂载安...
aide入侵检测工具与crontab
weixin_30781775的博客
10-12 136
aide实际上是通过检测系统所发生的变化来判断系统是否遭到入侵 配置文件(不同系统下可能有所区别) /etc/aide.conf database report_url gzip_dbout aide –init 初始化生成一个基于当前文档信息的数据库 aide –check 检查数据库的一致性 推荐aide –check配置成定时任务 /etc...
浅谈IPv6环境下的入侵检测
05-26
由于IPV6的发展是一种必然趋势,所以IPV6环境下的安全问题也变得越来越多,然而,想保护好我们的网络安全,必须做到安全测试,防患于未然,本论文主要讨论了在IPV6环境下如何进行入侵检测
[转]rkhunter(Rootkit猎手)安装使用
tpriwwq的专栏
08-11 836
rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。
rootkit后门检查工具RKHunter
07-14
rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。
Linux rootkit扫描工具(rkhunter1.4)
01-15
为应对这种威胁,开发出了如rkhunter这样的开源工具,用于检测和预防rootkit的入侵。 **什么是rootkit?** Rootkit是一种特殊的恶意软件,其主要目标是控制被感染的系统,尤其是获得root权限。它通过替换或修改...
RKHunter 检测例如rootkit、后门、漏洞等恶意程序的工具
01-02
RKHunter是一款检测例如rootkit、后门、漏洞等恶意程序的工具。它采用多种检测手段,包括MD5哈希值对比、rootkits原始文件名检测、文件权限检测,以及LKM和KLD模块中的可疑字符串检测。
rkhunter:Puppet 模块来管理 rkhunter 工具的使用和配置
06-03
rkhunter 模块允许您管理 rkhunter 包的安装、工具使用方式的配置以及管理工具的自动化使用。 设置 rkhunter 影响什么 rkhunter 的打包文件。 rkhunter 的配置文件。 从 rkhunter 开始 要获得 rkhunter 工具的...
关于Linux上两种rootkits检测工具
08-20
2. **二进制和系统工具检测**:RKHunter检查系统中可能被rootkit利用的二进制文件,如`/bin`, `/sbin`和`/usr/bin`目录下的文件,以查找不正常的权限或异常行为。 3. **特洛伊木马特征码检测**:RKHunter会对比已知...
Linux服务器后门自动化查杀教程
weixin_33827965的博客
11-15 817
一、说明 如果出现文件上传漏洞和命令执行类漏洞(包括命令注入、缓冲区溢出、反序列化等)都会让人担心,系统是否系统已被上传webshell甚至植入木马程序。如果依靠人工排查,一是工作量大二是需要一定程度的技术知识和业务知识才能判断什么是正常什么是异常。工作量大决定排查工作不可能由个别具有技术知识和业务知识的人来完成工作而需要其他人员参与,而如果这些没有“一定程度的技术知识和业务知识”的人员参与基本必...
linux安全工具RKHunter
qq_40954652的博客
03-01 6774
RKHunter简介 RKHunter是专业检测系统是否感染rootkit的一个工具,它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方资料中,RKHunter可以做的事情有: MD5校验测试,检测文件是否有改动 检测rootkit使用的二进制和系统工具文件 检测特洛伊木马程序的特征码 检测常用程序的文件属性是否异常 检测系统相关的测试 检测隐藏文件 检测可疑的核心模块LKM 检测系统已启动的监听端口 此工具也可以用于常用的入侵检测 RKHunter安装 RKHunter的官方网站: ht
VPS安全配置
weixin_33953384的博客
01-30 237
防止CC***:使用开源的ddos-defender工具来实现通过netstat定时采集针对80,443,8080的连接数,单个IP连接数达到100以上,可以认为是CC***. 将被会主机拒绝1小时。 防主机密码破解:使用DenyHOsts工具进行针对了SSH登录日志进行扫描,普通用户登录失败3次以上,将被主机拒绝连接5分钟,root用户登录2次失败主机将拒绝连接5分钟。 ...
Linux环境下黑客入侵排查步骤
liguangyao213的博客
10-30 1245
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。 0x01 入侵排查思路 1.1 账号安全 基...
使用AIDE做Linux高级入侵检测文件监控
citelao的博客
03-21 2759
使用AIDE做Linux高级入侵检测文件监控 1、aide介绍 AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性。 AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索
Python实现linux自动化运维 (1)
茄肥猫的窝
11-26 7344
通过 运用 Python 第三方 系统 基础 模块, 可以 轻松 获取 服务 关键 运营 指标 数据,包括 Linux 基本 性能、 块 设备、 网卡 接口、 系统 信息、 网络 地址 库 等 信息。 在 采集 到这 些 数据 后, 我们 就可以全方位 了解 系统 服务 的 状态,再结合 告警 机制, 可以 在 第一 时间 响应, 将 异常 出现 在 苗头 时 就得 以 处理。
入侵检测ids--ping of death
程序狗的成长之路
07-25 4908
1. Ping of Death俗称“死拼”,其攻击原理是攻击者A向受害者B发送一些尺寸超大的ICMP(Ping命令使用的是ICMP报文)报文对其进行攻击(对于有些路由器或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启)。 为了让大家更好的理解Ping of Death攻击原理,下面补充介绍下IP报文和ICMP报文的封装格式。如下图所示:         1).
rkhunter的工作原理
最新发布
03-10
rkhunter是一个基于Linux的安全工具,它通过扫描系统文件和目录,检查系统上的恶意软件、后门、木马等安全问题。它会对系统文件进行哈希值比对,以检测是否被篡改或被替换。同时,它还会检查系统上的进程、网络连接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值