Linux下的入侵监测系统的构建(chkrootkit)

  我们在操作系统刚被安装之后，或者说服务器开放之前，让 chkrootkit 就开始工作。而且，在服务器开放之前，备份 chkrootkit 使用的系统命 令，在一些必要的时候（怀疑系统命令已被修改的情况等等），让 chkrootkit 使用初始备份的系统命令进行工作。
安装chkrootkit
#wget  http://down1.chinaunix.net/distfiles/chkrootkit-0.46a.tar.gz #tar  xf  chkrootkit-0.46a.tar.gz #cd   chkrootkit-0.46a #make  sense  //编译 #cd .. #cp  -r  chkrootkit-0.46a  /usr/local/chkrootkit #rm  -r  chkrootkit-0.46a 测试chkrootkit #cd   /usr/local/chkrootkit #./chkrootkit | grep  INFECTED #cd  chkrootkit 的监测自动化 # vi chkrootkit  ← 建立chkrootkit自动运行脚本 #!/bin/bash PATH=/usr/bin:/bin TMPLOG=`mktemp` # Run the chkrootkit /usr/local/chkrootkit/chkrootkit > $TMPLOG # Output the log cat $TMPLOG | logger -t chkrootkit # bindshe of SMTPSllHow to do some wrongs if [ ! -z "$(grep 465 $TMPLOG)" ] && \ [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then sed -i '/465/d' $TMPLOG fi # If the rootkit have been found,mail root [ ! -z "$(grep INFECTED $TMPLOG)" ] && \ grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root rm -f $TMPLOG # chmod 700 chkrootkit  ← 赋予脚本可被执行的权限 # mv chkrootkit /etc/cron.daily/  ← 将脚本移动到每天自动运行的目录中 chkrootkit 相关的系统命令的备份   如前言所述，当chkrootkit使用的系统命令被入侵者更改后，chkrootkit对 rootkit的监测将失效。所以，我们事前将chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始命令，让chkrootkit对 rootkit进行检测。 # mkdir /root/commands/  ← 建立暂时容纳命令备份的目录 # cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/  ← （连续输入无换行）备份系统命令到建立好的目录 # /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED  ← 用备份的命令运行chkrootkit # tar cvf /root/commands.tar /root/commands/ ← 将命令打包 # gzip /root/commands.tar  ← 将打包的文件压缩 然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方 # rm -rf commands*   ← 为安全起见，删除服务器端备份的系统命令及相关文件   如果以后想通过备份的原始系统命令来运行chkrootkit的时候，只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩，然后运行在chkrootkit的时候指定相应的目录即可。例如，假设已经将备份上传至root用户目录的情况如下： # tar zxvf /root/commands.tar.gz  ← 解开压缩的命令备份 # /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit 然后在运行后删除相应遗留文件即可。 可查询官方网站：http://www.chkrootkit.org/