linux文件系统安全（二）-----rootkit防护

1，rootkit后门检测

        Chkrootkit是一个在本地系统检查rootkit痕迹的工具，它是检查系统二进制文件是否被rootkit病毒修改的一个shell脚本，系统环境Centos6.5。官网提供的最新的版本为0.50版（注：因为chkrootkit为安全软件，务必从官网直接下载：http://www.chkrootkit.org/）。

       下载后包文件为：chkrootkit.tar.gz，需通过FTP上传至我们的linux（centos 6.5）。

• 准备gcc编译环境

对于CentOS系统，需要安装gcc编译环境，执行下述三条命令：

[root@mykernel ~]# yum -y install gcc

[root@mykernel  ~]# yum -y install gcc-c++

[root@mykernel  ~]# yum -y install make

• 安装chkrootkit
  

为了安全起见，建议直接从官方网站下载chkrootkit源码，然后进行安装，操作如下：

[root@mykernel ~]# tar zxvf chkrootkit.tar.gz

[root@mykernel  ~]# cd chkrootkit-*

[root@mykernel  ~]# make sense

# 注意，上面的编译命令为make sense

•  使用chkrootkit

编译完成后，不要退出编译目录

[root@mykernel  ~]# ./chkrootkit -V

[root@mykernel  ~]# ./chkrootkit

说明：若检测过程中出现INFECTED字样，则说明所对应的文件被rootkit感染。

• chkrootkit的缺点

          chkrootkit在检查rootkit的过程中使用了部分系统命令，因此，如果服务器被黑客入侵，那么依赖的系统命令可能也已经被入侵者替换，此时chkrootkit的检测结果将变得完全不可信。为了避免chkrootkit的这个问题，可以在服务器对外开放前，事先将chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始系统命令让chkrootkit对rootkit进行检测。这个过程可以通过下面的操作实现：

[root@mykernel ~]# mkdir /usr/share/.commands

[root@mykernel  ~]# cp `which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname` /usr/share/.commands

[root@mykernel  ~]# /usr/local/chkrootkit/chkrootkit -p /usr/share/.commands/

[root@mykernel  share]# cd /usr/share/

[root@mykernel  share]# tar zcvf commands.tar.gz .commands

[root@mykernel share]#  rm -rf commands.tar.gz

        上面这段操作是在/usr/share/下建立了一个.commands隐藏文件，然后将chkrootkit使用的系统命令进行备份到这个目录下。为了安全起见，可以将.commands目录压缩打包，然后下载到一个安全的地方进行备份，以后如果服务器遭受入侵，就可以将这个备份上传到服务器任意路径下，然后通过chkrootkit命令的“-p”参数指定这个路径进行检测即可。

•  编译过程中的错误：

/usr/bin/ld: cannot find -lc

collect2: ld returned 1 exit status

make: *** [strings-static] Error 1

解决办法：

# yum install glibc-static

2，RKHunter后门检测工具

        RKHunter是一款专业的检测系统是否感染rootkit的工具，它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方的资料中，RKHunter可以作的事情有：

1.MD5校验测试，检测文件是否有改动

2.检测rootkit使用的二进制和系统工具文件

3.检测特洛伊木马程序的特征码

4.检测常用程序的文件属性是否异常

5.检测系统相关的测试

6.检测隐藏文件

7.检测可疑的核心模块LKM

8.检测系统已启动的监听端口

         下面详细讲述下RKHunter的安装与使用：

• 安装RKHunter

         官方网站：https://rootkit.nl/projects/rootkit_hunter.html，本文使用目前最新版本：rkhunter-1.4.2.tar.gz

通过FTP上传至我们的linux（centos 6.5），这里采用RKHunter的默认安装方式，rkhunter命令被安装到了/usr/local/bin目录下。

[root@mykernel  ~]# tar -zxvf rkhunter-1.4.0.tar.gz 

[root@mykernel  ~]# cd rkhunter-1.4.0

[root@mykernel  rkhunter-1.4.0]# ./installer.sh  --layout default --install

• 使用RKHunter进行检测

[root@mykernel  ~]# /usr/local/bin/rkhunter -c

  #先进行系统命令的检查，主要是检测系统的二进制文件，因为这些文件最容易被rootkit攻击。显示OK字样表示正常，显示Warning表示有异常，需要引起注意，而显示“Not found”字样，一般无需理会

  在Linux终端使用rkhunter来检测，最大的好处在于每项的检测结果都有不同的颜色显示，如果是绿色的表示没有问题，如果是红色的，那就要引起关注了。另外，在上面执行检测的过程中，在每个部分检测完成后，需要以Enter键来继续。如果要让程序自动运行，可以执行如下命令：

[root@mykernel  ~]# /usr/local/bin/rkhunter �Ccheck �Cskip-keypress

同时，如果想让检测程序每天定时运行，那么可以在/etc/crontab中加入如下内容：

30 05 * * * root /usr/local/bin/rkhunter �Ccheck �Ccronjob

这样，rkhunter检测程序就会在每天的5:30分运行一次。

更多优秀的博文请访问个人博客：www.mykernel.cn