所谓 rootkit ,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够常时入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件 chkrootkit 来建立入侵监测系统,来保证对系统是否被安装了 rootkit 进行监测。
chkrootkit 在监测 rootkit 是否被安装的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将 chkrootkit 使用的系统命令也做修改,使得 chkrootkit 无法监测 rootkit ,从而达到即使系统安装了 chkrootkit 也无法检测出 rootkit 的存在,从而依然对系统有着控制的途径,而达到入侵的目的。那样的话,用 chkrootkit 构建入侵监测系统将失去任何意义。对此,我们在操作系统刚被安装之后,或者说服务器开放之前,让 chkrootkit 就开始工作。而且,在服务器开放之前,备份 chkrootkit 使用的系统命令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让 chkrootkit使用初始备份的系统命令进行工作。
安装 chkrootkit
首先来下载和安装 chkrootkit 工具。
[root@sample ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ← 下载chkrootkit
[root@sample ~]# tar zxvf chkrootkit.tar.gz ← 展开被压缩的源代码
[root@sample ~]# cd chkrootkit* ← 进入chkrootkit 源代码的目录
[root@sample chkrootkit-0.46a]# make sense ← 编译
[root@sample chkrootkit-0.46a]# cd .. ← 返回上层目录
[root@sample ~]# cp -r chkrootkit-* /usr/local/chkrootkit ← 复制编译后文件所在的目录到指定位置
[root@sample ~]# rm -rf chkrootkit* ← 删除遗留的源代码目录及相关文件
测试 chkrootkit
然后测试 chkrootkit 是否能够正常运行。
[root@sample ~]# cd /usr/local/chkrootkit ← 进入chkrootkit 的目录
[root@sample chkrootkit]# ./chkrootkit | grep INFECTED ← 测试运行chkrootkit
稍等片刻…如果没有显示“INFECTED”字样,而直接出现命令行提示符,说明一
切OK!
[root@sample chkrootkit]# cd ← 回到root 用户目录
