Linux后门入侵检测的实现

rootkit从浅显的层面来讲即一种具有自我隐蔽性的后门程序,它往往被入侵者作为一种入侵工具。通过rootkit,入侵者可以偷偷控制被入侵的电脑,因此危害巨大。chkrootkit是一个Linux系统下的查找检测rootkit后门的工具。本文将介绍chkrootkit的安装与使用方法。

chkrootkit没有包含在官方的CentOS或Debian源,因此我们将采取手动编译的方法来安装,这种方式也更加安全。由于需要编译源代码,因此还需要在系统中安装好gcc编译包。

[root@linux-01 ~]# yum -y install gcc gcc-c++ make ntp

[root@linux-01 ~]# ntpdate pool.ntp.org

3 Sep 12:03:49 ntpdate[4211]: step time server 59.66.66.243 offset 6192510.670388 sec

[root@linux-01 ~]# date

2013年 09月 03日 星期二 12:03:56 CS

[root@linux-01 ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

[root@linux-01 ~]# tar zxf chkrootkit.tar.gz

[root@linux-01 ~]# cd chkrootkit-*

[root@linux-01 chkrootkit-0.49]# make sense

gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c

gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c

chkwtmp.c: In function ‘main’:

chkwtmp.c:95: 警告:隐式声明与内建函数 ‘exit’ 不兼容

gcc -DHAVE_LASTLOG_H  -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c

gcc -o chkproc chkproc.c

gcc -o chkdirs chkdirs.c

gcc -o check_wtmpx check_wtmpx.c

gcc -static -o strings-static strings.c

gcc -o chkutmp chkutmp.c

[root@linux-01 chkrootkit-0.49]# cd ..

[root@linux-01 ~]# cp -r chkrootkit-* /usr/local/chkrootkit

[root@linux-01 ~]# rm -rf chkrootkit-*

[root@linux-01 ~]# /usr/local/chkrootkit/chkrootkit

作者署名:51cto博客 IMySQL

查看本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/OS/Linux/

时间: 2024-12-23 09:49:23

Linux后门入侵检测的实现的相关文章

Linux后门入侵检测工具,附bash漏洞解决方法

一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马.rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统. rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍. 1.文件级别rootkit 文件级别的rootkit一般是通

如何在 Linux 系统上安装 Suricata 入侵检测系统

如何在 Linux 系统上安装 Suricata 入侵检测系统 随着安全威胁的不断发生,入侵检测系统(IDS)在如今的数据中心环境中显得尤为必要.然而,随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网,对如此线路上的硬件进行计算密集型的入侵检测越来越困难.其中一种提升入侵检测系统性能的途径是多线程入侵检测系统,它将 CPU 密集型的深度包检测工作并行的分配给多个并发任务来完成.这样的并行检测可以充分利用多核硬件的优势来轻松提升入侵检测系统的吞吐量.在这方面有两个知名的开源项目,分别

植入式攻击入侵检测解决方案

植入式攻击入侵检测解决方案 http://netkiller.github.io/journal/security.implants.html Mr. Neo Chen (陈景峰), netkiller, BG7NYT 中国广东省深圳市龙华新区民治街道溪山美地518131+86 13113668890+86 755 29812080<netkiller@msn.com> 版权 2014 http://netkiller.github.io 版权声明 转载请与作者联系,转载时请务必标明文章原始出

无线入侵检测系统

现在随着黑客技术的提高,无线局域网 (WLANs)受到越来越多的威胁.配置无线基站(WAPs)的失误导致会话劫持以及拒绝服务攻击(Dos)都象瘟疫一般影响着无线局域网的安全.无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还有可能受到基于电气和电子工程师协会(IEEE)发行802.11标准本身的安全问题而受到威胁.为了更好的检测和防御这些潜在的威胁,无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题.以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案.这篇文章

详解无线局域网需要无线入侵检测系统

现在随着黑客技术的提高,无线局域网(WLANs)受到越来越多的威胁.配置无线基站(WAPs)的失误导致会话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全.无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还有可能受到基于电气和电子工程师协会 (IEEE) 发行802.11标准本身的安全问题而受到威胁.为了更好的检测和防御这些潜在的威胁,无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题.以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案.这篇文

防黑阻击 入侵检测之蜜罐与蜜网

中介交易 SEO诊断 淘宝客 云主机 技术大厅 入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术.主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种.它是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法.为了吸引攻击者,网络管理员通常还在Honeypot上故意留下一些安全后门,或者放置一些攻击者希望得到的敏感信息,当然这些信息都是虚假.当入侵者正为攻入目标系统而沾沾自喜时,殊不知自己在目标系统中的所做所为,包括输入的字符,执行的操作等都已经被Ho

snort+base搭建IDS入侵检测系统

Snort是美国Sourcefire公司开发的发布在GPL v2下的IDS(Intrusion Detection System)软件 Snort有 三种工作模式:嗅探器.数据包记录器.网络入侵检测系统模式.嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上.数据包记录器模式把数 据包记录到硬盘上.网路入侵检测模式分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作.网络入侵检测系统模式是最复杂的,而且是可 配置的. Snort可以用来监测各种数据包如端口扫描等之外

入侵检测工具之RKHunter &amp; AIDE

一.入侵检测工具rkhunter 1.rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围. rootkit hunter功能: 检测易受攻击的文件: 检测隐藏文件: 检测重要文件的权限: 检测系统端口号: 2.安装rkhunter 下载:http://sourceforge.net/projects/rkhunter 1 2 3 4 5 tar zxvf rkhunter-1.4.0.tar.gz cd rkhunter-1.4.0 ./installer.sh

搞好服务器的入侵检测

中介交易 SEO诊断 淘宝客 云主机 技术大厅 相信大家都受过病毒煎熬,下面是我从自学编程网转载过来,看了,觉得不错,所以特来献给站长朋友, 入侵检测既是一项非常重要的服务器日常管理工作,也是管理人员必须掌握的技能.下面笔者和大家一道,多点出击.明察秋毫进行服务器的入侵检测. 1.查看服务器状态 部署"性能监控"工具,实施对服务器的实时监控这应该成为服务器的标准配置.笔者向大家推荐NetFox这款服务器监控工具,通过其可以设置"Web/Ping"."FTP