安全监测系统的构建（chkrootkit）

　　所谓rootkit，是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉，通过这类工具，入侵者建立了一条能够总能够入侵系统，或者说对系统进行实时控制的途径。所以，我们用自由软件chkrootkit来建立入侵监测系统，来保证对系统是否被安装了rootkit进行监测。
　　chkrootkit在监测rootkit是否被安装的过程中，需要使用到一些操作系统本身的命令。但不排除一种情况，那就是入侵者有针对性的已经将chkrootkit使用的系统命令也做修改，使得chkrootkit无法监测rootkit，从而达到即使系统安装了chkrootkit也无法检测出rootkit的存在，从而依然对系统有着控制的途径，而达到入侵的目的。那样的话，用chkrootkit构建入侵监测系统将失去任何意义。对此，我们在操作系统刚被安装之后，或者说服务器开放之前，让chkrootkit就开始工作。而且，在服务器开放之前，备份chkrootkit使用的系统命令，在一些必要的时候（怀疑系统命令已被修改的情况等等），让chkrootkit使用初始备份的系统命令进行工作。
　　安装chkrootkit

下载和安装chkrootkit工具
　　安装chkrootkit

#wgethttp://down1.chinaunix.net/distfiles/chkrootkit-0.46a.tar.gz

#tarxfchkrootkit-0.46a.tar.gz

#cdchkrootkit-0.46a

#makesense//编译

#cd..

#cp-rchkrootkit-0.46a/usr/local/chkrootkit

#rm-rchkrootkit-0.46a
　　测试chkrootkit

#cd/usr/local/chkrootkit

#./chkrootkit|grepINFECTED

#cd
　　chkrootkit的监测自动化

#vichkrootkit←建立chkrootkit自动运行脚本

#!/bin/bash

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

#Runthechkrootkit

/usr/local/chkrootkit/chkrootkit>$TMPLOG

#Outputthelog

cat$TMPLOG|logger-tchkrootkit

#bindsheofSMTPSllHowtodosomewrongs

if[!-z"$(grep465$TMPLOG)"]&&\

[-z$(/usr/sbin/lsof-i:465|grepbindshell)];then

sed-i'/465/d'$TMPLOG

fi

#Iftherootkithavebeenfound,mailroot

[!-z"$(grepINFECTED$TMPLOG)"]&&\

grepINFECTED$TMPLOG|mail-s"chkrootkitreportin`hostname`"root

rm-f$TMPLOG

#chmod700chkrootkit←赋予脚本可被执行的权限

#mvchkrootkit/etc/cron.daily/←将脚本移动到每天自动运行的目录中
　　chkrootkit相关的系统命令的备份

如前言所述，当chkrootkit使用的系统命令被入侵者更改后，chkrootkit对rootkit的监测将失效。所以，我们事前将chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始命令，让chkrootkit对rootkit进行检测。

#mkdir/root/commands/←建立暂时容纳命令备份的目录

#cp`which--skip-aliasawkcutechoegrepfindheadidlsnetstatpsstringsseduname`/root/commands/←（连续输入无换行）备份系统命令到建立好的目录

#/usr/local/chkrootkit/chkrootkit-p/root/commands|grepINFECTED←用备份的命令运行chkrootkit

#tarcvf/root/commands.tar/root/commands/←将命令打包

#gzip/root/commands.tar←将打包的文件压缩

然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方

#rm-rfcommands*←为安全起见，删除服务器端备份的系统命令及相关文件
　　如果以后想通过备份的原始系统命令来运行chkrootkit的时候，只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩，然后运行在chkrootkit的时候指定相应的目录即可。例如，假设已经将备份上传至root用户目录的情况如下：

#tarzxvf/root/commands.tar.gz←解开压缩的命令备份

#/usr/local/chkrootkit/chkrootkit-p/root/commands|grepINFECTED←用备份的命令运行chkrootkit
　　然后在运行后删除相应遗留文件即可。

可查询官方网站：

http://www.chkrootkit.org/

 
*
*