你怀疑你有一个受到危害的系统吗?
立即检查入侵者可能已安装的 根工具包 !
那么...在地狱里是一个根工具?
一个 根工具包是入侵者经常安装的程序的集合,因为它们已经破坏了系统的根帐户。
这些程序将帮助入侵者清理自己的轨道,并提供对系统的访问权限。
根工具包有时会使进程运行,以便入侵者可以方便地恢复,没有系统管理员的了解!
解....
像 chkrootkit这样的脚本会自动为你做这个工作。
chkrootkit V. 0.46a
Nelson Murilo [nelson@pangeia.com.br](主要作者)
Klaus Steding-Jessen [jessen@cert.br](合着者)
本程序本地检查rootkit的符号。
chkrootkit可从以下网址获得:http://www.chkrootkit.org/
不鼓励违法活动!我不对你可能做的任何事情负责。
该工具包括由DFN-CERT,Univ开发的软件。的汉堡(chklastlog和chkwtmp),以及由Fred N. van Kempen [waltje@uwalt.nl.mugnet.org]开发的一小部分ifconfig。
什么是chkrootkit?
chkrootkit是本地检查rootkit的标志的工具。它包含:
* chkrootkit :一个shell脚本,用于检查rootkit修改的系统二进制文件。
* ifpromisc.c :检查网络接口是否处于混杂模式。
* chklastlog.c :检查lastlog删除。
* chkwtmp.c :检查wtmp删除。
* check_wtmpx.c :检查wtmpx删除。 (仅限Solaris)
* chkproc.c :检查LKM木马的迹象。
* chkdirs.c :检查LKM木马的迹象。
* strings.c :快速而脏的字符串替换。
* chkutmp.c :检查utmp删除。
chkwtmp和 chklastlog * try *来检查wtmp中已删除的条目
和lastlog文件,但它是*不*保证任何修改
将被检测。
外星人试图找到嗅探器日志和rootkit配置文件。它看起来
对于某些默认文件位置 - 所以它也不能保证
在所有情况下都会成功。
chkproc检查/ proc条目是否从ps和readdir中隐藏
系统调用。这可能是LKM木马的表现。您可以
还可以使用-v选项(详细)运行此命令。
好 !足够的理论...我们现在做一些肮脏的工作!
注意!!! 不要在您的系统上安装chkrootkit,只需定期运行。
攻击者可能会简单地找到安装并进行更改,以免其出现。
编译并将其放在可移动或只读媒体上。
第1步
下载 最新的源码压缩包(37140字节) 。
从 shell运行...
第2步
然后验证 tarball的MD5签名 。
从 shell运行...
第3步
使用
从 shell运行...
第4步
编译 chrootkit 。进入它创建的目录并从 shell中键入...
第5步
从内置的目录运行 chkrootkit 。从 shell ...
它将打印其执行的每个测试和测试结果:
不是很有趣吗
感谢上帝我没有感染!
chrootkit也可以在安装在另一台机器上的磁盘上运行,只需使用
就这样...
我希望 你也不会感染了!
PS
如果你没有被感染,我认为这是制作磁盘副本的好时机
为您要映像的分区生成校验和,从 shell运行
要制作磁盘的副本,我们将使用
您将需要
这意味着
写入另一个硬盘!
看到更多结果!
相关链接...
立即检查入侵者可能已安装的 根工具包 !
那么...在地狱里是一个根工具?
一个 根工具包是入侵者经常安装的程序的集合,因为它们已经破坏了系统的根帐户。
这些程序将帮助入侵者清理自己的轨道,并提供对系统的访问权限。
根工具包有时会使进程运行,以便入侵者可以方便地恢复,没有系统管理员的了解!
解....
像 chkrootkit这样的脚本会自动为你做这个工作。
chkrootkit V. 0.46a
Nelson Murilo [nelson@pangeia.com.br](主要作者)
Klaus Steding-Jessen [jessen@cert.br](合着者)
本程序本地检查rootkit的符号。
chkrootkit可从以下网址获得:http://www.chkrootkit.org/
不鼓励违法活动!我不对你可能做的任何事情负责。
该工具包括由DFN-CERT,Univ开发的软件。的汉堡(chklastlog和chkwtmp),以及由Fred N. van Kempen [waltje@uwalt.nl.mugnet.org]开发的一小部分ifconfig。
什么是chkrootkit?
chkrootkit是本地检查rootkit的标志的工具。它包含:
* chkrootkit :一个shell脚本,用于检查rootkit修改的系统二进制文件。
* ifpromisc.c :检查网络接口是否处于混杂模式。
* chklastlog.c :检查lastlog删除。
* chkwtmp.c :检查wtmp删除。
* check_wtmpx.c :检查wtmpx删除。 (仅限Solaris)
* chkproc.c :检查LKM木马的迹象。
* chkdirs.c :检查LKM木马的迹象。
* strings.c :快速而脏的字符串替换。
* chkutmp.c :检查utmp删除。
chkwtmp和 chklastlog * try *来检查wtmp中已删除的条目
和lastlog文件,但它是*不*保证任何修改
将被检测。
外星人试图找到嗅探器日志和rootkit配置文件。它看起来
对于某些默认文件位置 - 所以它也不能保证
在所有情况下都会成功。
chkproc检查/ proc条目是否从ps和readdir中隐藏
系统调用。这可能是LKM木马的表现。您可以
还可以使用-v选项(详细)运行此命令。
好 !足够的理论...我们现在做一些肮脏的工作!
注意!!! 不要在您的系统上安装chkrootkit,只需定期运行。
攻击者可能会简单地找到安装并进行更改,以免其出现。
编译并将其放在可移动或只读媒体上。
第1步
下载 最新的源码压缩包(37140字节) 。
从 shell运行...
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
第2步
然后验证 tarball的MD5签名 。
从 shell运行...
# md5sum verify chkrootkit.tar.gz
第3步
使用
tar来解压缩源代码。
从 shell运行...
# tar -xzf chkrootkit.tar.gz
第4步
编译 chrootkit 。进入它创建的目录并从 shell中键入...
# make sense
第5步
从内置的目录运行 chkrootkit 。从 shell ...
# ./chkrootkit
它将打印其执行的每个测试和测试结果:
ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not infected Checking `grep'... not infected . . . chkutmp: nothing deleted
不是很有趣吗
感谢上帝我没有感染!
chrootkit也可以在安装在另一台机器上的磁盘上运行,只需使用
-r选项指定分区的安装点:
# ./chrootkit -r /mnt/hda2_image
就这样...
我希望 你也不会感染了!
PS
如果你没有被感染,我认为这是制作磁盘副本的好时机
为您要映像的分区生成校验和,从 shell运行
# md5sum /dev/hdc2 > /tmp/hdc2.md5
要制作磁盘的副本,我们将使用
dd命令。从
壳 ...
# dd if=/dev/hdc of=/tmp/hdc.img
您将需要
/tmp中足够的空间来保存整个
/dev/hdc驱动器的副本。
这意味着
/tmp不应该是RAM磁盘,不应该存储在
/dev/hdc 。
写入另一个硬盘!
看到更多结果!
相关链接...
