Linux后门入侵检测工具
Linux系统软件安全检查脚本使用Shell脚本实现对Linux系统软件安全漏洞的检查和修复
Linux系统软件安全检查脚本使用Shell脚本实现对Linux系统软件安全漏洞的检查和修复在当今信息化时代,Linux系统被广泛应用于服务器、网络设备以及移动设备等各个领域。
然而,随着网络攻击和恶意软件的不断增加,Linux系统软件安全问题也逐渐显露出来。
为了保障系统的安全性,我们需要运用安全检查脚本来实现对Linux系统软件安全漏洞的检查和修复。
一、背景介绍随着互联网的快速普及,Linux系统已经成为很多组织和企业首选的操作系统。
然而,由于软件开发过程中的瑕疵以及黑客的攻击手段日益复杂,系统软件存在的漏洞也越来越多。
这些漏洞可能会导致系统崩溃、信息泄露甚至是系统被黑客控制。
因此,通过使用安全检查脚本来发现并修复这些漏洞变得尤为重要。
二、安全检查脚本的设计与实现为了实现对Linux系统软件安全漏洞的检查和修复,我们设计并实现了一个安全检查脚本。
该脚本主要包括以下几个功能模块:1. 漏洞检测模块:该模块通过调用系统命令和工具,自动化地对Linux系统中已安装的软件进行扫描和检测,以发现可能存在的漏洞和安全隐患。
2. 漏洞修复模块:在发现漏洞后,该模块会自动下载漏洞修复补丁,并对系统软件进行升级和修复,以消除已发现的漏洞。
3. 定期检查模块:为了保证系统的安全性,在安全检查脚本中还设置了定期检查模块,该模块可以根据用户自定义的时间间隔,定期运行安全检查脚本,以实时监控系统的安全状况。
通过以上功能模块的设计和实现,安全检查脚本能够实现对Linux系统软件安全漏洞的检查和修复,进而提升系统的安全性和稳定性。
三、使用方法与操作步骤使用安全检查脚本对Linux系统软件进行安全漏洞的检查和修复非常简单,只需按照以下步骤操作即可:1. 下载安全检查脚本:从官方网站或可信赖的软件源下载安全检查脚本的安装包,并将其解压到指定目录。
2. 修改配置文件:根据实际情况,修改安全检查脚本的配置文件,包括扫描方式、检测等级以及漏洞修复方式等。
使用nmap命令在Linux中进行指定端口的网络扫描
使用nmap命令在Linux中进行指定端口的网络扫描网络安全对于维护信息系统的稳定和安全至关重要。
为了确保网络的安全性,网络管理员需要定期进行网络扫描来检测可能存在的漏洞和风险。
在Linux操作系统中,nmap是一款功能强大的开源网络探测和安全评估工具,可以帮助管理员快速准确地扫描网络主机,发现潜在的安全问题。
本文将介绍如何在Linux中使用nmap命令进行指定端口的网络扫描。
一、nmap简介nmap(Network Mapper)是一个开源的网络扫描工具,最初由Gordon Lyon(也被称为Fyodor Vaskovich)开发。
它可以在Windows、Linux和其他操作系统上运行,并提供了丰富的功能用于网络发现、端口扫描、服务和操作系统指纹识别等。
nmap可以通过发送自定义的网络数据包来与目标主机通信,获取有关该主机的详细信息,并分析其安全漏洞。
二、安装nmap在Linux中安装nmap非常简单。
以下是在Ubuntu操作系统上安装nmap的步骤:1. 打开终端。
2. 输入以下命令并按下回车键:sudo apt-get update```此命令将更新软件包列表以获取最新的软件包信息。
3. 输入以下命令并按下回车键:```sudo apt-get install nmap```这将安装nmap工具及其依赖项。
4. 安装完成后,您可以通过输入以下命令来验证nmap是否正确安装:```nmap --version```如果成功安装,您将看到nmap的版本信息。
三、指定端口的扫描1. 打开终端。
2. 输入以下命令并按下回车键:nmap -p <port> <target>```在上述命令中,`<port>`是您要扫描的端口号,`<target>`是目标主机的IP地址或主机名。
例如,要扫描IP地址为192.168.0.1的主机上的80端口,您可以使用以下命令:```nmap -p 80 192.168.0.1```如果要扫描多个端口,您可以使用逗号分隔它们。
最常使用的10大渗透测试系统与21个Kali渗透工具
最常使用的10大渗透测试系统与21个Kali渗透工具渗透测试是指通过黑客攻击或网络攻击自己的系统,以便可以确定是否存在任何可被第三方利用的漏洞。
这个过程可进一步加强Web应用防火墙,它提供了大量的洞察力,可用于提高系统的安全性,这对任何类型的企业都至关重要。
借助专业工具,渗透测试更加有效和高效,以下介绍10种最佳工具。
一、渗透测试十大最佳操作系统1、Kali LinuxKali Linux是基于Debian的黑客攻击和渗透测试分发的第一大最佳操作系统。
由进攻性安全部门开发。
第一个版本发布于xx年2月5日,它完成了BackTrack Linux项目。
它曾经使用GNOME作为桌面环境。
如今,Kali Linux成为Rolling发行版。
它在Kali存储库中有很多工具。
Kali Linux在Top 10 Peration Testing和Ethical Hacking Linux xx中排名第一。
2、Parrot Security OSParrot Security是黑客和渗透测试的第二大和最佳操作系统,Forensics Distro致力于黑客和网络安全专业人士。
它有一个大型存储库,可以为新手和专家收集大量令人惊叹的黑客工具。
由FrozenBox 开发。
第一个版本发布于xx年6月。
它曾经使用MATE作为桌面环境,它基于像Kali Linux这样的Debian。
3、BackBox LinuxBackbox Linux是基于Ubuntu Linux的黑客攻击和渗透测试发行版的第3个最佳操作系统。
由BackBox Team开发。
第一个版本发布于xx年9月9日。
Backbox曾经使用XFCE作为桌面环境和Ubuntu LTS版本作为基础。
它包含渗透测试领域中最专业,最着名和最常用的工具,如MSF,NMAP,BurpSuite,Armitage,SQLMap等。
4、BlackArch Linux基于Linux的Black Arch Arch Linux#4轻量级和最佳操作系统,用于黑客攻击和渗透测试Distro专为专业人士和精英黑客设计,他们能够像Pro一样使用Linux。
如何在Linux上进行网络安全扫描和漏洞评估
如何在Linux上进行网络安全扫描和漏洞评估近年来,网络安全问题引起了广泛的关注,各类黑客攻击和漏洞事件频频发生,给个人和企业带来了巨大的损失。
为了保护个人和企业的信息安全,进行网络安全扫描和漏洞评估变得至关重要。
在这篇文章中,我们将介绍如何在Linux操作系统上进行网络安全扫描和漏洞评估。
一、准备工作在进行网络安全扫描和漏洞评估之前,我们需要准备一些必要的工具和环境。
1. Linux系统首先,我们需要一台安装了Linux操作系统的机器。
Linux操作系统具有良好的稳定性和安全性,是进行网络安全扫描和漏洞评估的良好选择。
2. 安全扫描工具其次,我们需要选择适合的安全扫描工具。
在Linux上有许多优秀的安全扫描工具可供选择,比如Nmap、OpenVAS等。
3. 网络环境最后,确保您的机器处于一个安全、稳定的网络环境中。
网络环境的不稳定可能导致扫描结果不准确或者产生其他问题。
二、网络安全扫描网络安全扫描是一种发现和识别网络主机的漏洞和安全风险的方法。
下面将介绍如何使用Nmap进行网络安全扫描。
1. 安装Nmap首先,在Linux上安装Nmap工具。
在终端中输入以下命令进行安装:```sudo apt-get install nmap```2. 执行扫描命令安装成功后,我们可以使用以下命令执行一次简单的网络扫描:```nmap -v -sn 192.168.0.0/24```该命令将扫描指定子网中的主机,并显示出在线的主机列表。
3. 高级扫描选项除了简单的网络扫描外,Nmap还提供了许多高级的扫描选项。
比如,可以使用以下命令扫描指定主机的开放端口:```nmap -v -p 1-1000 192.168.0.1```该命令将扫描192.168.0.1主机的1到1000号端口,并列出开放的端口。
三、漏洞评估网络安全扫描只能发现潜在的漏洞和风险,而漏洞评估则对已发现的漏洞进行深入分析和评估。
1. 安装OpenVASOpenVAS是一款开源的漏洞评估工具,可以在Linux上进行安装和使用。
常用黑客工具(网络入侵工具)
常用黑客工具(网络入侵工具)一、扫描工具X-scan 3.1 焦点出的扫描器,国内最优秀的安全扫描软件之一!非常专业的一个扫描器!X-way 2.5 这也上一个非常不错的扫描器哦!功能非常多!使用也不难,入侵必备工具!SuperScan 3.0 强大的TCP 端口扫描器、Ping 和域名解析器!Namp 3.5 这个就厉害了,安全界人人皆知的非常有名气的一个扫描器!作者FyodorHscan v1.20 这是款运行在Win NT/2000下的漏洞扫描工具,有GUI以及命令行两种扫描方式!SSS 俄罗斯安全界非常专业的一个安全漏洞扫描软件!U-Scan.exe 非常好的UNICODE漏洞扫描工具!RpcScan V1.1 可以通过135端口枚举远程主机RPC连接信息!SHED 1.01 一个用来扫描共享漏洞的机器的工具!DSScan V1.00 ms04-011 远程缓冲区溢出漏洞扫描专用!Dotpot PortReady1.6 该软件为“绿色软件”,无需安装,非常小巧(仅23KB),具有极快的扫描速度!WebDA VScan v1.0 针对WEBDA V漏洞的扫描工具! 注意:该软件解压缩时会被查杀!Socks Proxy Finder2 扫描端口速度非常快的一个工具,扫描完毕后还可以导出保存起来!SQLScan v1.2 猜解开着1433端口的住机密码工具!RPC漏洞扫描器v1.03 针对RPC漏洞扫描的工具!流光5.0 破解版国内大名鼎鼎的黑客扫描工具,由高级程序员小榕编写!自动攻击探测机Windows NT/2000 自动攻击探测机4899空口令探测能够快速的扫描到被安装了radmin服务端4899端口的空口令IP!二、远程控制黑洞免杀版藏鲸阁-陈经韬编写的著名远程控制程序!该版本还是8月15最新版的哦!冰河免杀版国内最有名,历史最悠久的木马冰河!本版本是冰河的最新版本,服务器端只有16KB!灰鸽子迷你版灰鸽子工作室-葛军同志的作品!网络神偷 5.7 网络神偷是一个专业级的远程文件访问工具!具有反弹功能!广外女生 1.53 广州-广外女生小组的作品,曾风靡一时! 注意:该软件解压缩时会被查杀!Radmin3.2影子版非常有名的监视程序!并非木马,所以服务端不会被查杀!黑...................... 2.0 使用跟Radmin一样,功能明显比它多,扫描速度也非常快!风雪远程控制v3.9 基于TCP/IP协议的远程管理网络工具,一个具有反弹功能的工具,非常小巧!无赖小子 2.5 无赖小子2.5,08月23日发布,其默认端口8011!蓝色火焰v0.5 蓝色火焰是一个没有客户端的木马,可谓无招胜有招!注意:该软件解压缩时会被查杀!网络公牛国产公牛木马,由于上传文件大小限制,包中没有加入易语言运行库文件krnln.fnr!GoToMyPC 4.00 安装简单;能够从任何安装有浏览器的计算机上访问主机;具有新的安全功能!三、入侵必备SQL综合利用工具非常好的一个SQL连接器,除了可以输入CMD命令外,还可以直接上传软件!SuperSQLEXEC 用来连接sql server的工具!3389.exe 开远程机器3389端口的小东东!只要把程序上传到肉鸡运行后,重启既可!c3389.exe 是一个可以显示、更改本机或远程主机终端服务端口的小程序!3389.bat 一个开3389端口的批量处理!3399终端登陆器用来远程登陆3389肉鸡终端的工具!这个win2000以上都有,以下的都没有!Opentelnet 远程开telnet的工具!NTLM.exe 去除ntlm验证的小工具,上传后执行,然后再telnet上去既可!Hide Admin V2.0 用来隐藏肉鸡上管理员帐号的工具!不过管理员帐号必须有$号哦!SSSO伴侣1.2 更直观的入侵,把dos下的入侵实战搬到图形界面上来!3389终端复制补丁只要安装了该补丁,就可以直接把你需要上传的东西拖拽到肉鸡上!非常方便哦!TFTP32 非常使用的一个上传工具!也是大家经常使用的哦!Wget.exe 命令行下的http软件!Pulist.exe 使用pulist.exe 来获取已经登陆帐户的winlogon.exe 的PID 值!FindPass.exe 找管理员密码,需要PULIST配合!入侵助手1.0 该工具可以将dos下的入侵命令直接生成给黑客!Snake的代理跳板让机器成为sock5代理软件的程序,可以用它隐藏自己的ip.Fport.exe 命令行下查看系统进程与端口关联!四、注入工具NBSI 2.0 NB 联盟小竹编写的一个非常强悍sql注射工具!CASI 1.10 安全天使-superhei编写的一个php注射工具,亦是国内首发的第一个php注射工具!sqlasc.exe NB 联盟出的注射点扫描工具!sql_injection 自贡学生联盟出的sql注射工具,跟臭要饭的哪个差不多!绝世猜解SQL注射 1.0 BUGKIDZ-臭要饭的!以前编写的sql注射工具,使用率相当广泛!简单实用的工具!五、网吧工具还原转存大师藏鲸阁出的还原转存大师,大家都认识!不做介绍!还原精灵清除器CY07工作室出的一个还原精灵清除器!好久以前我用过,感觉非常不错!还原精灵密码读取还原精灵密码读取!读取还原精灵密码的工具!还原卡密码破解程序非常好用的还原卡密码破解程序!Pubwin4.3 修改程序目的:跳过管理验证,并且可以免费上网!美萍9.0密码破解器1.0 美萍9.0密码破解器1.0!做破解使用!万象2R最新版破解器万象2R最新版破解器!做破解使用!万象普及版密码破解器可以显示退出密码;运行设置程序密码;注意:该软件解压缩时会被查杀!网吧管理集成破解器网吧管理集成破解器,功能挺多的哦!Pubwin精灵程序运行后,首先点击破解按钮,当显示破解成功后请点注销按钮....小哨兵密码清除器小哨兵密码清除,没有测试过,大家试试!解锁安全器2.0 解锁安全器2.0!硬盘还原卡破解程序硬盘还原卡破解程序!还原卡解锁还原卡解锁!Bios密码探测器Bios密码探测器,速度很快的哦!共享密码扫描器共享密码扫描器,也是一个不错的工具!硬盘还原卡工具包硬盘还原卡工具包,零件很多,大家试试吧!干掉Windows2000 干掉Windows2000!注册表解锁器注册表破解器!解锁用的!网上邻居密码破解器网上邻居密码破解器,速度也很快哦!精锐网吧辅助工具六、漏洞利用动网7SP1,2, SQL注入动网7SP1,7SP2,SQL版USER-AGENT注入利用程序!桂林老兵作品!动网上传利用程序动网上传漏洞利用程序!桂林老兵作品!动网上传漏洞利用动网上传漏洞利用程序,臭要饭的!作品!BBS3000漏洞利用工具BBS3000漏洞利用工具,俺是奋青作品!尘缘雅境漏洞利用工具尘缘雅境上传漏洞利用工具,俺是奋青作品!上传漏洞利用4in1 上传漏洞利用程序4合1!七、嗅探监听nc.exe NC.EXE 是一个非标准的telnet客户端程序!安全界有名的军刀!NetXray 一款非常好的网络分析和监控软件Sniffer Pro 4.7 想成为真正的黑客高手,那就先学会使用该工具吧!WSockExpert 非常实用的一个抓包工具,也是黑客经常使用的工具!八、溢出工具sql2.exe 红盟站长Lion编译的一个sql溢出程序!注意:该软件解压缩时会被查杀!SERV-U.exe 编译好的site chmod 溢出工具.默认的shellport为53!IIS5Exploit.exe 不错的一个iis5溢出攻击程序!非常实用!适用英文版!IDAHack ida 溢出漏洞常用工具!WEBdav 溢出程序WEBdav溢出程序!PHP溢出工具:concep PHP溢出工具:concep!IDQ溢出攻击程序IDQ溢出攻击程序!IIS5.0远程溢出工具可以溢出任何版本的windows系统,只要安装了iis4.0 iis 5.0九、攻击工具蓝雪入侵者BETA 完全自动,攻击网吧利器!注意:该软件解压缩时会被查杀!蓝雪QQ轰炸者这是蓝雪QQ轰炸者的最新版!第六代飘叶千夫指6.0 程序上针对“千夫指”等软件设置了多项预防功能!懒人短消息攻击器V1.01 此软件是结合各大短信网站普遍都有漏洞制作而成的注意:解压缩时会被查杀!UDP Flood v2.0 发送UDP packet进行拒绝服务攻击。
linux wireshark使用方法
linux wireshark使用方法# Linux Wireshark 使用方法Wireshark 是一个强大的网络协议分析工具,它在Linux 系统上得到广泛应用。
本文将介绍如何在 Linux 系统上安装和使用 Wireshark。
## 1. 安装 Wireshark在大多数常见的 Linux 发行版中,Wireshark 都可以通过包管理器进行安装。
以下是几个常见的发行版的安装命令:- Ubuntu/Debian:```sudo apt-get install wireshark```- Fedora/CentOS:```sudo dnf install wireshark```- Arch Linux:```sudo pacman -S wireshark```安装过程可能需要输入管理员密码,根据提示进行操作即可。
## 2. 配置 Wireshark 权限Wireshark 需要以 root 权限运行才能够监听网络接口。
为了避免直接使用 root用户运行 Wireshark,我们可以通过配置允许非特权用户捕获数据包的方法。
运行以下命令来配置:```sudo dpkg-reconfigure wireshark-common```在弹出的对话框中选择“是”,然后在下一个对话框中选择“确定”。
这将允许非特权用户进行数据包捕获。
## 3. 打开 Wireshark在命令行中运行以下命令来打开 Wireshark:```wireshark```Wireshark 将以图形界面的形式打开。
## 4. 选择网络接口在Wireshark 的界面中,可以看到一个网络接口列表。
选择要监听的网络接口,例如以太网或 Wi-Fi 接口。
点击该接口,然后点击“开始”按钮开始监控该接口上的网络流量。
## 5. 分析数据包一旦开始监控网络接口,Wireshark 将开始捕获数据包。
你将看到实时交换的网络流量。
你可以使用 Wireshark 的过滤器功能来仅显示感兴趣的数据包,以便更好地分析。
渗透测试工具大全
渗透工具一、基于网站的渗透1、名称:Acunetix Web Vulnerability Scanner 6功能:网站漏洞扫描器。
平台:Windows2、名称:IBM Rational AppScan 7.8功能:网站漏洞扫描器。
平台:Windows3、名称:Jsky功能:网站漏洞扫描器。
平台:Windows4、名称:DTools功能:阿D的多功能入侵工具,带扫描、植马等。
平台:Windows5、名称:wepoff功能:网站漏洞扫描器。
平台:Linux / Unix6、名称:Domain3.6功能:网站旁注工具。
平台:Windows7、名称:casi功能:PHP+MYSQL注射工具。
平台:Windows8、名称:HP WebInspect 7.7功能:网站漏洞扫描器。
平台:Windows9、名称:php_bug_scanner功能:PHP程序漏洞扫描器。
平台:Windows10、名称:多线程网站后台扫描工具功能:扫描网站后台管理登陆地址。
平台:Windows11、名称:NStalker功能:网站爬虫。
平台:Windows12、名称:挖掘鸡 v6.5功能:挖掘搜索引擎关键字。
平台:Windows13、名称:cookie注入工具功能:cookies注入辅助工具。
平台:Windows14、名称:httpup功能:通用HTTP上传程序。
平台:Windows二、基于系统的渗透1、名称:nmap功能:系统端口扫描器。
平台:Windows2、名称:Nessus功能:系统漏洞扫描器。
平台:Windows3、名称:X-Scan功能:系统漏洞扫描器。
平台:Windows4、名称:SuperScan功能:系统端口扫描器。
平台:Windows5、名称:SSS功能:SSS扫描器。
平台:Windows6、名称:NetCat功能:瑞士军刀。
平台:Windows7、名称:Apache Tomcat Crack功能:Tomcat弱口令扫描器。
如何检测 Linux 系统安全漏洞
如何检测 Linux 系统安全漏洞在当今信息时代,网络安全备受人们的关注。
而 Linux 系统由于其安全性好、稳定性高而成为许多企业、机构的首选系统。
但是,就算是 Linux 系统也难免存在一些安全漏洞。
本文将介绍如何检测 Linux 系统的安全漏洞。
一、查看系统补丁系统补丁是一种修补系统漏洞的方式,补丁的安装可以有效的防范与解决一些安全漏洞。
在 Linux 系统中,可以通过命令“yum update” 或“apt-get update” 来检查系统的更新情况。
如果系统中存在可更新的补丁,应及时进行更新。
二、使用安全扫描工具使用安全扫描工具可以快速的检测系统中的安全漏洞,易于管理者及时进行补救。
常用的安全扫描工具有 Nessus、OpenVAS、Nmap 等。
其中, Nessus 是一个较为专业的漏洞扫描工具,可以用于检测网络设备、操作系统以及应用程序等方面的漏洞。
OpenVAS 是一个开放源代码的扫描器,具有简单易用、功能强大等优点。
而Nmap则是一种流行的端口扫描工具,可用于发现主机、服务及开放端口等信息。
三、使用日志监控工具通过日志监控工具,可以收集系统的各种日志信息,包括系统登录、数据传输、网络连接等,了解系统运行情况以及发现安全漏洞。
常用的日志监控工具有 syslog、rsyslog 等。
其中, syslog可以用于收集多个系统的日志信息,并进行统一归档和管理。
rsyslog 则是对syslog 的一种增强版本,具有高效的日志处理能力,可以快速进行大量日志数据的处理。
四、设置防火墙规则防火墙是保护系统安全的一道屏障,可以过滤入侵的网络流量,防止外部攻击。
在 Linux 系统中,常用的防火墙包括 iptables、UFW 等。
通过设置防火墙规则,可以阻止一些不安全的网络流量,提高系统的安全性。
五、监控系统文件文件权限管理是 Linux 系统中的一个重要环节,如果一些系统文件权限设置不当,则有可能造成系统漏洞。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【Linux】后门入侵检测工具一、rootkit简介rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。
rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统。
rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍。
1、文件级别rootkit文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。
在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。
通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等,其中login程序是最经常被替换的,因为当访问Linux时,无论是通过本地登录还是远程登录,/bin/login 程序都会运行,系统将通过/bin/login来收集并核对用户的账号和密码,而rootkit就是利用这个程序的特点,使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login,这样攻击者通过输入设定好的密码就能轻松进入系统。
此时,即使系统管理员修改root密码或者清除root密码,攻击者还是一样能通过root用户登录系统。
攻击者通常在进入Linux系统后,会进行一系列的攻击动作,最常见的是安装嗅探器收集本机或者网络中其他服务器的重要数据。
在默认情况下,Linux中也有一些系统文件会监控这些工具动作,例如ifconfig命令,所以,攻击者为了避免被发现,会想方设法替换其他系统文件,常见的就是ls、ps、ifconfig、du、find、netstat等。
如果这些文件都被替换,那么在系统层面就很难发现rootkit已经在系统中运行了。
这就是文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如果发现文件被修改或者被替换,那么很可能系统已经遭受了rootkit入侵。
检查件完整性的工具很多,常见的有Tripwire、aide等,可以通过这些工具定期检查文件系统的完整性,以检测系统是否被rootkit入侵。
2、内核级别的rootkit内核级rootkit是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序,也就是说,当用户要运行程序A时,被入侵者修改过的内核会假装执行A程序,而实际上却执行了程序B。
内核级rootkit主要依附在内核上,它并不对系统文件做任何修改,因此一般的检测工具很难检测到它的存在,这样一旦系统内核被植入rootkit,攻击者就可以对系统为所欲为而不被发现。
目前对于内核级的rootkit还没有很好的防御工具,因此,做好系统安全防范就非常重要,将系统维持在最小权限内工作,只要攻击者不能获取root权限,就无法在内核中植入rootkit。
二、rootkit后门检测工具chkrootkitchkrootkit是一个Linux系统下查找并检测rootkit后门的工具,它的官方址: /。
chkrootkit没有包含在官方的CentOS源中,因此要采取手动编译的方法来安装,不过这种安装方法也更加安全。
下面简单介绍下chkrootkit的安装过程。
1.准备gcc编译环境对于CentOS系统,需要安装gcc编译环境,执行下述三条命令:[root@server ~]# yum -y install gcc[root@server ~]# yum -y install gcc-c++[root@server ~]# yum -y install make2、安装chkrootkit为了安全起见,建议直接从官方网站下载chkrootkit源码,然后进行安装,操作如下:[root@server ~]# tar zxvf chkrootkit.tar.gz[root@server ~]# cd chkrootkit-*[root@server ~]# make sense# 注意,上面的编译命令为make sense[root@server ~]# cd ..[root@server ~]# cp -r chkrootkit-* /usr/local/chkrootkit[root@server ~]# rm -rf chkrootkit-*3、使用chkrootkit安装完的chkrootkit程序位于/usr/local/chkrootkit目录下,执行如下命令即可显示chkrootkit的详细用法:[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkit -hchkrootkit各个参数的含义如下所示。
参数含义-h显示帮助信息-v显示版本信息-l显示测试内容-ddebug模式,显示检测过程的相关指令程序-q安静模式,只显示有问题的内容-x高级模式,显示所有检测结果-r dir设置指定的目录为根目录-p dir1:dir2:dirN指定chkrootkit检测时使用系统命令的目录-n跳过NFS连接的目录chkrootkit的使用比较简单,直接执行chkrootkit命令即可自动开始检测系统。
下面是某个系统的检测结果:[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkitChecking `ifconfig'... INFECTEDChecking `ls'... INFECTEDChecking `login'... INFECTEDChecking `netstat'... INFECTEDChecking `ps'... INFECTEDChecking `top'... INFECTEDChecking `sshd'... not infectedChecking `syslogd'... not testedChecking `tar'... not infectedChecking `tcpd'... not infectedChecking `tcpdump'... not infectedChecking `telnetd'... not found从输出可以看出,此系统的ifconfig、ls、login、netstat、ps和top 命令已经被感染。
针对被感染rootkit的系统,最安全而有效的方法就是备份数据重新安装系统。
4、chkrootkit的缺点chkrootkit在检查rootkit的过程中使用了部分系统命令,因此,如果服务器被黑客入侵,那么依赖的系统命令可能也已经被入侵者替换,此时chkrootkit的检测结果将变得完全不可信。
为了避免chkrootkit的这个问题,可以在服务器对外开放前,事先将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始系统命令让chkrootkit 对rootkit进行检测。
这个过程可以通过下面的操作实现:[root@server ~]# mkdir /usr/share/.commands[root@server ~]# cp `which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname` /usr/share/.commands[root@server ~]# /usr/local/chkrootkit/chkrootkit -p /usr/share/.commands/ [root@server share]# cd /usr/share/[root@server share]# tar zcvf commands.tar.gz .commands[root@server share]# rm -rf commands.tar.gz上面这段操作是在/usr/share/下建立了一个.commands隐藏文件,然后将chkrootkit使用的系统命令进行备份到这个目录下。
为了安全起见,可以将.commands目录压缩打包,然后下载到一个安全的地方进行备份,以后如果服务器遭受入侵,就可以将这个备份上传到服务器任意路径下,然后通过chkrootkit命令的“-p”参数指定这个路径进行检测即可。
三、rootkit后门检测工具RKHunterRKHunter是一款专业的检测系统是否感染rootkit的工具,它通过执行一系列的脚本来确认服务器是否已经感染rootkit。
在官方的资料中,RKHunter可以作的事情有:MD5校验测试,检测文件是否有改动检测rootkit使用的二进制和系统工具文件检测特洛伊木马程序的特征码检测常用程序的文件属性是否异常检测系统相关的测试检测隐藏文件检测可疑的核心模块LKM检测系统已启动的监听端口下面详细讲述下RKHunter的安装与使用。
1、安装RKHunterRKHunter的官方网页地址为:http://www.rootkit.nl/projects/rootkit_hunter.html,建议从这个网站下载RKHunter,这里下载的版本是rkhunter-1.4.0.tar.gz。
RKHunter的安装非常简单,过程如下:[root@server ~]# lsrkhunter-1.4.0.tar.gz[root@server ~]# pwd/root[root@server ~]# tar -zxvf rkhunter-1.4.0.tar.gz[root@server ~]# cd rkhunter-1.4.0[root@server rkhunter-1.4.0]# ./installer.sh --layout default --install这里采用RKHunter的默认安装方式,rkhunter命令被安装到了/usr/local/bin目录下。
2、使用rkhunter指令rkhunter命令的参数较多,但是使用非常简单,直接运行rkhunter 即可显示此命令的用法。
下面简单介绍下rkhunter常用的几个参数选项。