如何扫描您的Linux-Distro根套件

你怀疑你有一个受到危害的系统吗?
立即检查入侵者可能已安装的 根工具包

那么...在地狱里是一个根工具?
一个 根工具包是入侵者经常安装的程序的集合,因为它们已经破坏了系统的根帐户。
这些程序将帮助入侵者清理自己的轨道,并提供对系统的访问权限。
根工具包有时会使进程运行,以便入侵者可以方便地恢复,没有系统管理员的了解!

解....
chkrootkit这样的脚本会自动为你做这个工作。

chkrootkit V. 0.46a

Nelson Murilo [nelson@pangeia.com.br](主要作者)
Klaus Steding-Jessen [jessen@cert.br](合着者)

本程序本地检查rootkit的符号。
chkrootkit可从以下网址获得:http://www.chkrootkit.org/

不鼓励违法活动!我不对你可能做的任何事情负责。

该工具包括由DFN-CERT,Univ开发的软件。的汉堡(chklastlog和chkwtmp),以及由Fred N. van Kempen [waltje@uwalt.nl.mugnet.org]开发的一小部分ifconfig。


什么是chkrootkit?
chkrootkit是本地检查rootkit的标志的工具。它包含:

* chkrootkit :一个shell脚本,用于检查rootkit修改的系统二进制文件。

* ifpromisc.c :检查网络接口是否处于混杂模式。

* chklastlog.c :检查l​​astlog删除。

* chkwtmp.c :检查wtmp删除。

* check_wtmpx.c :检查wtmpx删除。 (仅限Solaris)

* chkproc.c :检查LKM木马的迹象。

* chkdirs.c :检查LKM木马的迹象。

* strings.c :快速而脏的字符串替换。

* chkutmp.c :检查utmp删除。

chkwtmpchklastlog * try *来检查wtmp中已删除的条目
和lastlog文件,但它是*不*保证任何修改
将被检测。

外星人试图找到嗅探器日志和rootkit配置文件。它看起来
对于某些默认文件位置 - 所以它也不能保证
在所有情况下都会成功。

chkproc检查/ proc条目是否从ps和readdir中隐藏
系统调用。这可能是LKM木马的表现。您可以
还可以使用-v选项(详细)运行此命令。


好 !足够的理论...我们现在做一些肮脏的工作!

注意!!! 不要在您的系统上安装chkrootkit,只需定期运行。
攻击者可能会简单地找到安装并进行更改,以免其出现。
编译并将其放在可移动或只读媒体上。

第1步
下载 最新的源码压缩包(37140字节)
shell运行...

# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz


第2步
然后验证 tarball的MD5签名
shell运行...

# md5sum verify chkrootkit.tar.gz


第3步
使用 tar来解压缩源代码。
shell运行...

# tar -xzf chkrootkit.tar.gz


第4步
编译 chrootkit 。进入它创建的目录并从 shell中键入...

# make sense


第5步
从内置的目录运行 chkrootkit 。从 shell ...

# ./chkrootkit


它将打印其执行的每个测试和测试结果:

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
.
.
.
chkutmp: nothing deleted


不是很有趣吗
感谢上帝我没有感染!

chrootkit也可以在安装在另一台机器上的磁盘上运行,只需使用 -r选项指定分区的安装点:

# ./chrootkit -r /mnt/hda2_image


就这样...
我希望 你也不会感染了!

PS
如果你没有被感染,我认为这是制作磁盘副本的好时机
为您要映像的分区生成校验和,从 shell运行

# md5sum /dev/hdc2 > /tmp/hdc2.md5


要制作磁盘的副本,我们将使用 dd命令。从 ...

# dd if=/dev/hdc of=/tmp/hdc.img


您将需要 /tmp中足够的空间来保存整个 /dev/hdc驱动器的副本。
这意味着 /tmp不应该是RAM磁盘,不应该存储在 /dev/hdc
写入另一个硬盘!
看到更多结果!
相关链接...
赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏