在我今天说Rooterkit Hunter之前我来说说一些基本概念。在linux下的root意味着超级用户权利无限大,那么在如今脆弱的互联网大环境下,我们怎么样才能做些简单得检测进行分析、查看呢?怎么样才能够获得这么样的一个无限大的权限呢?嘿嘿,有人想到了,使用网上流行的Rootkit,简单的说就是一个***脚本,使用这样一个工具我们就可以进行***了。但是我们如何进行防护呢?就是今天主题了,Rootkit Hunter。
一:概念
Rootkit:Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标,rootkit是***者用来隐藏自己的踪迹和保留root访问权限的工具。如果有相应的权限进入系统后,他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。他通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,***者就开始着手清理日志中信息。用rootkit的嗅探器获得其它系统的用户和密码之后,***者就会利用这些信息侵入系统了。
那么如何防止Rootkit***呢?其实和windows一样(我今天说滴是linux下)关闭不必要的服务,随时更新主机中的套件程序补丁。关闭不必要的服务我前面已经写过了,还有更新一些套件程序也可以用yum来实现,具体可见http://yangjunfeng.blog.51cto.com/539796/168333其实还可以借助工具来实现,就是用Rootkit Hunter查看某些重要程序是否被Rootkit***。
Rootkit Hunter:简单的说下,linux下的杀毒软件,但是只具有检测功能,不具备杀毒功能。得手动进行查杀。
二:Rootkit Hunter的功能
1》检测系统重要的文档的MD5码,保证文件的完整性。
自身的MD5码与官方的MD5码进行比对,一样的话就没有被***。和我们平常下载游戏的时候见到的官网出示的MD5码一样,如果下载之后不一样,你打开它干嘛?说哈哈终于我中***了。。。
2》检测易受***的文件
因为Rootkit为了达到效果取得系统的控制权限,他们会主动更改一些文档,最重要的是一些特别重要的文档。所以,你进行Hunter的检测这些文档,就可以发现有么被Rootkit***
3》检测隐藏文件
我们知道linux的隐藏文件都是在名称前面加一个“.”***者可以通过这些隐藏文见来隐藏他的主程序,同样使用Hunter可以分析进行查找
4》检测重要文件的权限
大家知道一些重要的文件权限,如;/bin/ls具有755权限,而许多***程序做了更改之后会成为777的权限,从中可以判断是不是有问题
5》检测内核模块
linux的核心功能具有LKM性(Loadable Kernel Module)系统做什么由其系统决定。。。
6》检测系统端口号
7》检测***常***的文件
一些特定的***或后门,会在系统上建立一个特殊的文档,这些文档名是不变的。。。
三:下载Rootkit Hunter地址
http://www.rootkit.nl/projects/rootkit_hunter.html
四:安装程序
1》下载本地机器中
我的物理机中有Rootkit Hunter的程序包,我连到物理机中进行下载,进入后进行查看,是否有rkhunter包
找到后进行下载到linux本地中
下载后进行查看
2》解压
3》cd进入目录,然后进行安装
五:使用
安装后就可以向系统命令一样,可以直接运行rkhunter –checkall
之后会出现共五部分的步骤(太快了没有抓全)
会提示你按回车几下,汇总结果是。。。
这样就可以进行分析\查看了
它被安装到了/usr/local/bin/rkhunter –checkall
我来说说前面说地要检测的五部分
第一部分:检测重要文件的MD5码
第二部分:检测常见rootkit***文件和目录
第三部分:检测常见***端口
第四部分:检测本机信息
第五部分:检测安全套件
总结信息
为了方便我们可以进行无人值守(就是不用去手工的敲回车了)进行如下命令就可
汇总信息也有滴
在检测期间如果你有幸看到红色的字体,那么就要留心注意喽。。。
374
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
