linux下發生了入侵檢測的方法

2021-06-27 10:47:59 字數 3105 閱讀 9139



chkrootkit

1、安裝:wget

#tar zxvf chkrootkit.tar.gz

#cd chkrootkit*

#make sense

#cd ..

#cp -r chkrootkit* /usr/local/chkrootkit

#2、執行檢測:

#/usr/local/chkrootkit/chkrootkit

得到的結果全是infected的全被感染了。

3、chkrootkit引數說明

usage: ./chkrootkit [options] [test ...]

options:

-h                顯示幫助資訊

-v                顯示版本資訊

-l                顯示測試內容

-d                debug模式,顯示檢測過程的相關指令程式

-q                安靜模式,只顯示有問題部分,

-x                高階模式,顯示所有檢測結果

-r dir            設定指定的目錄為根目錄

-p dir1:dir2:dirn 檢測指定目錄

-n                跳過nfs連線的目錄

rootkit hunter

1、安裝

#tar -zxvf rkhunter-1.3.4.tar.gz

#cd rkhunter-1.3.4

#./installer.sh -h(安裝幫助)

usage: ./installer.sh

ordered valid parameters:

--help (-h)      : 顯示幫助

--examples       : 顯示安裝例項

--layout : 選擇安裝模板(安裝必選引數).

模板選擇:

- default: (fhs compliant),

- /usr,

- /usr/local,

- oldschool: 之前版本安裝路徑,

- custom: 自定義安裝路徑,

- rpm: for building rpm's. requires $rpm_build_root.

- deb: for building deb's. requires $deb_build_root.

--striproot      : strip path from custom layout (for package maintainers).

--install        : 根據選擇目錄安裝

--show           : 顯示安裝路徑

--remove         : 解除安裝rkhunter

--version        : 顯示安裝版本

使用的安裝指令

#./installer.sh --layout default --install

2、 rkhunter操作

#/usr/local/bin/rkhunter --propupd

#/usr/local/bin/rkhunter -c --sk -rwo

檢測後帶有「waring」,表示有異常。

如果讓程式每天定時檢測,加入到crontab裡去就可以(每天9點半執行一次)

09 3 * * * root  /usr/local/bin/rkhunter --check --cronjob

指令引數說明

#/usr/local/bin/rkhunter

usage: rkhunter ,...] |

--list [ | rootkits},...] |

--version | --help} [options]

--summary                     顯示檢測結果的統計資訊

(this is the default)

--syslog [facility.priority]  記錄檢測啟動和結束時間到系統日誌中

(default level is authpriv.notice)

--tmpdir 使用指定的臨時目錄

--update                      檢測更新內容

--vl, --verbose-logging             使用詳細日誌記錄 (on by default)

-v, --version                     顯示版本資訊

--versioncheck                檢測最新版本

-x, --autox                       當x在使用時,自動啟動檢測

-x, --no-autox                    當x在使用時,不自啟檢測

受到攻擊後處理方式:

1、切斷網路

2、查詢攻擊源,一般是檢視相關日誌,埠,執行程式等

3、分析入侵原因與途經

4、備份使用者資料

5、重新安裝系統

6、修復程式或漏洞

7、恢復資料與網路

方法:1、w命令,檢視登入過的使用者

2、鎖定使用者,並強制下線

#passwd -l nobody

#ps- ef |grep @pts/3(使用者怕tty)

#kill -9 6021

3、關閉可疑的程序,ps,top出來後,kill掉

#pidof abc

13256 15698 5654

#ls -al /proc/13256/exe  #進入記憶體目錄查詢

#ls -al /proc/13256/fd   #檢視檔案控制代碼

4、檢查檔案系統的完整性:

#rpm -va

s表示長度發生了變化

m表示訪問許可權或檔案型別發生了變化

5表示md5檢驗發生了變化

d表示裝置節點屬性發生了變化

l表示符號連線發生變化

u表示檔案、子目錄、裝置節點的owner發生了變化

g表示檔案、子目錄、裝置節點的group發生了變化

t表示最後一次修改時間發生了變化

黑客入侵MtGox想知道該公司到底發生了什麼

tgox上周五宣布申請破產保護,公司ceo mark karpeles稱,由於系統技術問題導致其損失了價值4.7億美元的85萬枚位元幣。他沒有透露所謂的技術問題的詳細情況。有分析認為應該不是交易的欺詐性贖回 transaction malleability 或錢包金鑰丟失。mtgox的情況籠罩在一層...

Linux下發生段錯誤時如何產生core檔案

linux下的c程式常常會因為記憶體訪問錯誤等原因造成segment fault 段錯誤 此時如果系統core dump功能是開啟的,那麼將會有記憶體映像轉儲到硬碟上來,之後可以用gdb對core檔案進行分析,還原系統發生段錯誤時刻的堆疊情況。這對於我們發現程式bug很有幫助。使用ulimit a可...

Linux下發生段錯誤時如何產生core檔案

linux下的c程式常常會因為記憶體訪問錯誤等原因造成segment fault 段錯誤 此時如果系統core dump功能是開啟的,那麼將會有記憶體映像轉儲到硬碟上來,之後可以用gdb對core檔案進行分析,還原系統發生段錯誤時刻的堆疊情況。這對於我們發現程式bug很有幫助。使用ulimit a可...