Linux后门入侵检测工具和最新的bash漏洞解决方案

什么是rootkit？

Rootkit是Linux平台下最常见的木马后门工具. 它主要通过替换系统文件来达到入侵和隐藏的目的. 该木马比普通木马后门更加危险和隐蔽. 常用的检测工具和检查很难找到这种木马. Rootkit具有极强的攻击能力，对系统非常有害. 它使用一组工具来建立后门并隐藏跟踪，从而使攻击者能够保留权限，以便它可以随时以root权限登录到系统.

Rootkit有两种类型: 文件级和内核级，下面简要介绍.

1. 文件级rootkit

文件级rootkit通常通过程序漏洞或系统漏洞进入系统，然后通过修改系统中的重要文件来隐藏自身. 在系统受到rootkit的攻击后，合法文件被木马替换并变成了shell程序. 里面有隐藏的后门程序. 通常容易被rootkit替换的系统程序是login，ls，ps，ifconfig，du，find，netstat等. 其中，最经常替换的是登录程序，因为在访问Linux时，无论是本地登录还是远程登录，/ bin / login程序将运行，系统将通过/ bin / login收集并检查用户帐户和密码. rootkit使用此程序的特征来用/ bin / login替换具有root权限的后门密码的系统. / bin /登录，这样攻击者可以通过输入设置的密码轻松进入系统. 此时，即使系统管理员更改了root密码或清除了root密码，攻击者仍然可以root用户身份登录系统. 进入Linux系统后，攻击者通常会进行一系列攻击. 最常见的是安装嗅探器以收集本机或网络中其他服务器的重要数据. 默认情况下，Linux中也有一些系统文件监视这些工具操作，例如ifconfig命令. 因此，为了避免检测，攻击者将找到替换其他系统文件的方法. 常见的是ls，ps，ifconfig，du，find，netstat等. 如果替换了这些文件，则很难找到rootkit已经在系统级别的系统上运行.

这是文件级rootkit，维护许多系统. 当前，最有效的防御方法是定期检查系统中重要文件的完整性. 如果发现文件被修改或替换，则很可能是系统受损. rootkit入侵. 有许多工具可以检查软件的完整性. Tripwire，助手等是常见的工具. 这些工具可用于定期检查文件系统的完整性，以检测系统是否已被rootkit入侵.

2. 内核级rootkit

与文件级rootkit相比，内核级rootkit是一种更高级的入侵方法. 它可以使攻击者获得对底层系统的完全控制. 这时，攻击者可以修改系统内核并拦截提交给内核的正在运行的程序. 命令并将其重定向到入侵者选择的程序并运行该程序，即，当用户要运行程序A时，入侵者修改的内核将假装执行程序A，但实际上执行程序A程序B. / p>

内核级rootkit主要附加到内核. 它不会修改系统文件. 因此，一般的检测工具很难检测到它的存在. 一旦将内核植入到rootkit中，攻击者就可以执行系统想要执行的任何操作. 没有被发现. 当前，没有用于内核级rootkit的好的防御工具. 因此，采取良好的系统安全预防措施非常重要. 使系统在最小权限内运行. 只要攻击者无法获得root权限，就不能将rootkit植入内核.

第二个rootkit后门检测工具chkrootkit

chkrootkit是用于在Linux下查找和检测rootkit后门的工具. 它的正式地址是: . chkrootkit没有包含在CentOS的官方源代码中，因此必须手动安装才能安装，但是这种安装方法也更加安全. 下面简要介绍chkrootkit的安装过程.

1. 准备gcc编译环境

对于CentOS系统，您需要安装gcc编译环境并执行以下三个命令:

代码如下:

[root @ server〜]#yum -y install gcc

[root @ server〜]#yum -y install gcc-c ++

[root @ server〜]#yum -y install mak

2. 安装chkrootkit

出于安全考虑，建议直接从官方网站下载chkrootkit源代码，然后按以下步骤安装它:

代码如下:

[root @ server〜]#tar zxvf chkrootkit.tar.gz [root @ server〜]#cd chkrootkit-*

[root @ server〜]#有意义

3. 使用chkrootkit

已安装的chkrootkit程序位于/ usr / local / chkrootkit目录中. 执行以下命令以显示chkrootkit的详细用法:

[root @ server chkrootkit]#/ usr / local / chkrootkit / chkrootkit -hchkrootkit每个参数的含义如下所示.

参数含义

-h显示帮助信息

-v显示版本信息

-l显示测试内容

-ddebug模式，显示检测过程的相关指令程序

-q安静模式bash 漏洞 工具，仅显示有问题的内容

-x高级模式，显示所有测试结果

-r dir将指定目录设置为根目录

-p dir1: dir2: dirN指定chkrootkit检测使用系统命令的目录-n跳过NFS连接目录

chkrootkit的使用相对简单. 您可以直接执行chkrootkit命令以自动检测系统. 以下是某些系统的测试结果:

代码如下:

[root @ server chkrootkit]#/ usr / local / chkrootkit / chkrootkit检查`ifconfig'...已感染

检查“ ls” ...已感染

正在检查“登录” ...已感染

正在检查“ netstat” ...已感染

正在检查“ ps” ...已感染

正在检查“顶部” ...已感染

正在检查“ sshd” ...未感染

正在检查“ syslogd” ...未经测试

正在检查“ tar” ...没有被感染

正在检查“ tcpd” ...未感染

正在检查“ tcpdump” ...未感染

正在检查“ telnetd” ...未找到

从输出中可以看出，该系统的ifconfig，ls，login，netstat，ps和top命令已被感染. 对于受感染的rootkit系统，最安全，最有效的方法是备份数据并重新安装系统.

4. chkrootkit的缺点

chkrootkit在检查rootkit的过程中使用一些系统命令. 因此，如果服务器被黑客入侵，则相关的系统命令可能已被入侵者取代. 此时，chkrootkit的检测结果将变得完全不可靠. 为避免chkrootkit出现此问题，可以在服务器向公众开放之前备份chkrootkit使用的系统命令，并在必要时使用备份的原始系统命令来检测chkrootkit. 此过程可以通过以下操作来实现:

代码如下:

[root @ server〜]#mkdir /usr/share/.commands[root@server〜]#cp`--skip-alias awk cut echo查找egrep id头ls netstat ps字符串sed uname` / usr /共享/.commands[root@server〜]#/ usr / local / chkrootkit / chkrootkit -p /usr/share/.commands/[root@server share]#cd / usr / share /

[root @服务器共享]#tar zcvf命令.tar.gz .commands [root @服务器共享]#rm -rf命令.tar.gz

上述操作是在/ usr / share /下创建一个.commands隐藏文件，然后将chkrootkit使用的系统命令备份到该目录. 出于安全原因，您可以压缩.commands目录并将其下载到安全的位置进行备份. 将来，如果服务器受到威胁，则可以将此备份上载到服务器上的任何路径，然后使用chkrootkit命令的“ -p”参数. 指定此检测路径.

三，rootkit后门检测工具RKHunter

RKHunter是用于检测系统是否感染了rootkit的工具. 它执行一系列脚本来确认服务器是否感染了rootkit. 在官方信息中，RKHunter可以执行以下操作:

MD5验证测试，以检查文件是否已更改

检测rootkit使用的二进制文件和系统工具文件

用于检测木马程序的功能代码

检测通用程序的文件属性是否异常

与测试系统相关的测试

检测隐藏文件

可疑核心模块LKM的检测

检测系统已启动的侦听端口

下面将详细介绍RKHunter的安装和使用.

1. 安装RKHunter

RKHunter的官方网址是: 建议从此网站下载RKHunter. 此处下载的版本是rkhunter-1.4.0.tar.gz. RKHunter的安装非常简单，过程如下:

代码如下:

[root @ server〜]#ls

rkhunter-1.4.0.tar.gz

[root @ server〜]#pwd

/根

[root @ server〜]#tar -zxvf rkhunter-1.4.0.tar.gz [root @ server〜]#cd rkhunter-1.4.0

[root @ server rkhunter-1.4.0]#./installer.sh --layout默认--install

这是RKHunter的默认安装方法. rkhunter命令安装在/ usr / local / bin目录中.

2. 使用rkhunter命令

rkhunter命令具有许多参数，但是使用非常简单. 您可以通过直接运行rkhunter来显示此命令的用法. 下面简要介绍rkhunter常用的几个参数选项.

[root @ server〜]#/ usr / local / bin / rkhunter–helpRkhunter常用参数及其含义如下所示.

参数含义

-c，--check必填参数，表示检查当前系统.

-configfile <文件>使用特定的配置文件

-cronjob作为cron任务定期运行

–sk，-skip-keypress自动完成所有检测，跳过键盘输入，以及--summary显示检测结果的统计信息.

-update检测到更新

-V，--version显示版本信息

-versioncheck检测到最新版本

以下是rkhunter进行系统检测的示例:

[root @ server rkhunter-1.4.0]#/ usr / local / bin / rkhunter -c [Rootkit Hunter版本1.4.0]

#以下是第一部分，首先检查系统命令，主要是检测系统的二进制文件，因为这些文件最容易受到rootkit攻击. 如果显示OK字样，则表示正常，如果显示警告，则异常情况需要引起注意，如果显示“ Not found”字样，则通常不必担心.

代码如下:

正在检查系统命令...

执行“字符串”命令检查

检查“字符串”命令[确定]

执行“共享库”检查

检查预加载变量[未找到]

检查预加载的库[未找到]

正在检查LD_LIBRARY_PATH变量[未找到]

执行文件属性检查

检查先决条件[警告]

/ usr / local / bin / rkhunter [确定]

/ sbin / chkconfig [确定]

…. （略）….

[按继续]

#以下是第二部分，主要检测常见的rootkit程序. 如果显示“未找到”，则表明系统未感染此病毒.

代码如下:

rootkit正在检查rootkit ...

执行对已知rootkit文件和目录的检查55808 Trojan – Variant A [未找到]

ADM蠕虫[未找到]

AjaKit Rootkit [未找到]

Adore Rootkit [未找到]

aPa套件[未找到]

Apache Worm [未找到]

环境（ark）Rootkit [未找到]

Balaur Rootkit [未找到]

BeastKit Rootkit [未找到]

beX2 Rootkit [未找到]

BOBKit Rootkit [未找到]

…. （略）….

[按继续]

#以下是第三部分，主要是一些特殊的或附加的检测，例如对rootkit文件或目录的检测，对恶意软件的检测以及对特定内核模块的检测.

代码如下:

执行其他rootkit检查

Suckit Rookit其他检查[确定]

检查可能的rootkit文件和目录[未找到]

检查可能的rootkit字符串[未找到]

执行恶意软件检查

检查正在运行的进程中是否存在可疑文件[未找到]

正在检查登录后门[未找到]

检查可疑目录[未找到]

正在检查嗅探器日志文件[未找到]

执行Linux特定检查

检查已加载的内核模块[确定]

检查内核模块名称[确定]

[按继续]

#以下是第四部分，主要检测网络，系统端口，系统启动文件，系统用户和组配置，SSH配置，文件系统等.

代码如下:

检查网络...

执行对网络端口的检查

检查后门端口[未找到]

在网络接口上执行检查检查接口是否混杂[未找到]

正在检查本地主机...

执行系统启动检查

检查本地主机名[找到]

检查系统启动文件[找到]

检查系统启动文件中的恶意软件[未找到]

执行组和帐户检查

检查passwd文件[找到]

正在检查根等效项（UID 0）帐户[未找到]

检查无密码帐户[未找到]

…. （略）….

[按继续]

#下面是第五部分，主要检测应用程序版本.

代码如下:

正在检查应用程序版本...

检查GnuPG的版本[确定]

检查OpenSSL的版本[警告]

检查OpenSSH的版本[确定]

#以下是最后一部分. 这部分实际上是上述输出的摘要. 通过此摘要，您可以大致了解服务器目录的安全状态.

代码如下:

系统检查摘要

=====================

文件属性检查...

必需的命令检查失败

检查的文件: 137

可疑文件: 4

Rootkit检查...

已检查Rootkit: 311

可能的rootkit: 0

应用程序检查...

已检查的应用程序: 3

可疑应用程序: 1

系统检查花费了6分41秒

使用rkhunter在Linux终端中进行检测，最大的优点是每个测试结果都有不同的彩色显示. 如果为绿色，则表示没有问题，如果为红色，则将引起关注. 另外，在执行上述测试的过程中bash 漏洞 工具，测试的每个部分完成之后，您需要按Enter键才能继续. 如果要让程序自动运行，可以执行以下命令:

[root @ server〜]#/ usr / local / bin / rkhunter -check -skip-keypress同时，如果希望每天定期运行检测程序，则可以将以下内容添加到/ etc / crontab:

30 09 * * * root / usr / local / bin / rkhunter -check -cronjob这样，rkhunter检测程序将每天在9:30运行一次.

安全更新:

Bash安全漏洞今天刚刚出现，SSH bash紧急安全补丁！重要！

要测试漏洞，请执行以下命令:

$ env x =’（）{: ;};回声弱点的bash -c“回声这是一个测试”

易受伤害

这是一个测试

如果显示上述内容，那么很遗憾，您必须立即应用安全补丁来修复它. 临时解决方案是:

yum -y更新bash

升级bash后，执行测试:

代码如下:

$ env x =’（）{: ;};回声弱点的bash -c“回声这是一个测试”

bash: 警告: x: 忽略函数定义trybash: 导入“ x”的函数定义时出错

这是一个测试

如果显示如上，则表明该漏洞已得到修补.

以上是Linux后门入侵检测工具和最新的bash漏洞解决方案. 感谢您的阅读. 希望对大家有帮助. 请继续关注脚本库. 我们将尝试分享更多优秀的文章.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-147943-1.html