上一篇: 
下一篇: 
chkrootkit 入侵监测系统-----原创
作者:苦咖啡 日期:2010-01-28
rootkit 入侵者经常使用的工具,通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够常时入侵系统,或者说对系统进行实时控制的途径。chkrootkit 来建立入侵监测系统,来保证对系统是否被安装了 rootkit 进行监测。
文件下载地址
ftp://ftp.pangeia.com.br/pub/seg/pac
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
本文编译环境:centos 5.3
[root@localhost voilet]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
--19:15:31-- ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
=> `chkrootkit.tar.gz'
正在解析主机 ftp.pangeia.com.br... 200.155.17.114
Connecting to ftp.pangeia.com.br|200.155.17.114|:21... 已连接。
正在以 anonymous 登录 ... 登录成功!
==> SYST ... 完成。 ==> PWD ... 完成。
==> TYPE I ... 完成。 ==> CWD /pub/seg/pac ... 完成。
==> SIZE chkrootkit.tar.gz ... 39421
==> PASV ... 完成。 ==> RETR chkrootkit.tar.gz ... 完成。
长度:39421 (38K)
100%[===============================================================>] 39,421 21.0K/s in 1.8s
19:15:41 (21.0 KB/s) - `chkrootkit.tar.gz' saved [39421]
[root@localhost voilet]# cd chkrootkit*
[root@localhost chkrootkit-0.49]# make sense
gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c
chkwtmp.c: In function ‘main’:
chkwtmp.c:95: 警告:隐式声明与内建函数 ‘exit’ 不兼容
gcc -DHAVE_LASTLOG_H -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c
gcc -o chkproc chkproc.c
gcc -o chkdirs chkdirs.c
gcc -o check_wtmpx check_wtmpx.c
gcc -static -o strings-static strings.c
gcc -o chkutmp chkutmp.c
[root@localhost chkrootkit-0.49]# cd ..
[root@localhost voilet]# cp -r chkrootkit-* /usr/local/
777/ etc/ lib/ mrtg-2/ share/ src/
BerkeleyDB.4.7/ games/ libexec/ samp/ sinff/ ssl/
bin/ include/ man/ sbin/ snmp/ webserver/
[root@localhost voilet]# cp -r chkrootkit-* /usr/local/chkrootkit
[root@localhost voilet]# rm -rf chkrootkit*
[root@localhost voilet]# cd /usr/local/chkrootkit/
[root@localhost chkrootkit]# ./chkrootkit |grep INFECTED 如未出现INFECTED则表面OK,这里需要等会时间有点点长,可以去喝杯咖啡
[root@localhost ~]# chmod 700 chkrootkit 加个脚本可执行的权限
[root@localhost ~]# mv chkrootkit /etc/cron.daily/ 将脚本移动到每天自动运行的目录中
[root@localhost ~]# mkdir /root/commands/ 建立暂时存放命令备份的目录
[root@localhost ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/ 备份系统命令到建立好的目录
[root@localhost ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED 用备份的命令运行chkrootkit
[root@localhost ~]# tar cvf /root/commands.tar /root/commands/ 将命令打包
tar: 从成员名中删除开头的“/”
/root/commands/
/root/commands/awk
/root/commands/sed
/root/commands/ls
/root/commands/netstat
/root/commands/strings
/root/commands/id
/root/commands/echo
/root/commands/cut
/root/commands/ps
/root/commands/head
/root/commands/egrep
/root/commands/find
/root/commands/uname
[root@localhost ~]# gzip /root/commands.tar 将打包的文件压缩
[root@localhost ~]# ls
anaconda-ks.cfg commands commands.tar.gz Desktop install.log install.log.syslog
以上为完整配置命令及回显
转载请注明出处本站原创
文件下载地址
ftp://ftp.pangeia.com.br/pub/seg/pac
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
本文编译环境:centos 5.3
复制内容到剪贴板
程序代码
程序代码[root@localhost voilet]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
--19:15:31-- ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
=> `chkrootkit.tar.gz'
正在解析主机 ftp.pangeia.com.br... 200.155.17.114
Connecting to ftp.pangeia.com.br|200.155.17.114|:21... 已连接。
正在以 anonymous 登录 ... 登录成功!
==> SYST ... 完成。 ==> PWD ... 完成。
==> TYPE I ... 完成。 ==> CWD /pub/seg/pac ... 完成。
==> SIZE chkrootkit.tar.gz ... 39421
==> PASV ... 完成。 ==> RETR chkrootkit.tar.gz ... 完成。
长度:39421 (38K)
100%[===============================================================>] 39,421 21.0K/s in 1.8s
19:15:41 (21.0 KB/s) - `chkrootkit.tar.gz' saved [39421]
复制内容到剪贴板 程序代码
程序代码[root@localhost voilet]# cd chkrootkit*
[root@localhost chkrootkit-0.49]# make sense
gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c
chkwtmp.c: In function ‘main’:
chkwtmp.c:95: 警告:隐式声明与内建函数 ‘exit’ 不兼容
gcc -DHAVE_LASTLOG_H -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c
gcc -o chkproc chkproc.c
gcc -o chkdirs chkdirs.c
gcc -o check_wtmpx check_wtmpx.c
gcc -static -o strings-static strings.c
gcc -o chkutmp chkutmp.c
[root@localhost chkrootkit-0.49]# cd ..
[root@localhost voilet]# cp -r chkrootkit-* /usr/local/
777/ etc/ lib/ mrtg-2/ share/ src/
BerkeleyDB.4.7/ games/ libexec/ samp/ sinff/ ssl/
bin/ include/ man/ sbin/ snmp/ webserver/
[root@localhost voilet]# cp -r chkrootkit-* /usr/local/chkrootkit
[root@localhost voilet]# rm -rf chkrootkit*
[root@localhost voilet]# cd /usr/local/chkrootkit/
[root@localhost chkrootkit]# ./chkrootkit |grep INFECTED 如未出现INFECTED则表面OK,这里需要等会时间有点点长,可以去喝杯咖啡
[root@localhost ~]# chmod 700 chkrootkit 加个脚本可执行的权限
[root@localhost ~]# mv chkrootkit /etc/cron.daily/ 将脚本移动到每天自动运行的目录中
[root@localhost ~]# mkdir /root/commands/ 建立暂时存放命令备份的目录
[root@localhost ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/ 备份系统命令到建立好的目录
[root@localhost ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED 用备份的命令运行chkrootkit
[root@localhost ~]# tar cvf /root/commands.tar /root/commands/ 将命令打包
复制内容到剪贴板 程序代码
程序代码tar: 从成员名中删除开头的“/”
/root/commands/
/root/commands/awk
/root/commands/sed
/root/commands/ls
/root/commands/netstat
/root/commands/strings
/root/commands/id
/root/commands/echo
/root/commands/cut
/root/commands/ps
/root/commands/head
/root/commands/egrep
/root/commands/find
/root/commands/uname
复制内容到剪贴板 程序代码
程序代码[root@localhost ~]# gzip /root/commands.tar 将打包的文件压缩
[root@localhost ~]# ls
anaconda-ks.cfg commands commands.tar.gz Desktop install.log install.log.syslog
以上为完整配置命令及回显
转载请注明出处本站原创
[本日志由 苦咖啡 于 2010-01-28 05:47 PM 编辑]
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: 入侵 监测 系统 chkrootkit 
相关日志:
评论: 0 | 引用: 0 | 查看次数: 429
发表评论
