Linux-Sicherheitsmaßnahmen Erkennung von Host-Eindringlingen (chkrootkit / rkhunter / maldetect)

Einführung

Dieser Artikel beschreibt die Erkennung von Host-Intrusionen als Sicherheitsmaßnahme für Linux.

Der Zweck der Host-Intrusion-Erkennung besteht darin, das Vorhandensein von Root-Kits und Malware zu erkennen.

Dieser Artikel behandelt die folgenden Tools (*).

• chkrootkit
• rkhunter
• maldetect

(*) Verwenden Sie für die Version die neueste Version zum Zeitpunkt des Schreibens dieses Artikels

chkrootkit chkrootkit ist ein Tool zum Erkennen der Existenz von Root-Kits. Das Standard-CentOS-Repository enthält das chkrootkit-Paket nicht wie Ubuntu.

Sie können chkrootkit von Download unter chkrootkit.org herunterladen. In diesem Artikel wird das Verfahren zur Installation von chkrootkit am Beispiel von CentOS 7 erläutert.

Darüber hinaus verwendet chkrootkit den folgenden Befehl. Es ist bedeutungslos, nachdem es bereits manipuliert wurde, daher sollte es bei der Einführung berücksichtigt werden. Außerdem verfügt chkrootkit nicht über eine Funktion, mit der Rootkit automatisch verarbeitet werden kann, selbst wenn es erkannt wird. Daher muss es nach der Erkennung manuell behandelt werden.

Der folgende Befehl wird vom chkrootkit-Skript verwendet.

awk、cut、echo、egrep、find、head、id、ls、netstat、ps、strings、sed、uname

Einführung von chkrootkit

--Installation der erforderlichen Pakete # yum groups install -y "Development Tools" # yum install -y wget glibc-static

• Chkrootkit herunterladen # wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

--Unzip # tar xzvf chkrootkit.tar.gz

• make # cd chkrootkit-0.53 # make sense

--Erstellen Sie einen symbolischen Link # cd ../; mv chkrootkit-0.53/ /usr/local/ # ln -s /usr/local/chkrootkit-0.53/ /usr/local/chkrootkit

Führen Sie chkrootkit aus

--Root Kit Erkennung # cd /usr/local/chkrootkit
# ./chkrootkit --Root Kit-Erkennung (für das angegebene Verzeichnis ausgeführt) # ./chkrootkit -r <Verzeichnis>

Sie können es regelmäßig überprüfen, indem Sie es mit cron einstellen. Folgendes wird täglich um 3 Uhr durchgeführt und Sie werden per E-Mail benachrichtigt.

0 3 * * * (cd /usr/local/chkrootkit; ./chkrootkit 2>&1 | mail -s "chkrootkit output" root)

rkhunter rkhunter ist auch ein Tool zum Erkennen der Existenz von Root-Kits. Wie chkrootkit ist es nicht im CentOS-Standard-Repository enthalten. Ändern Sie daher rkhunter in sourceforge.net. Download aus Dateien / rkhunter / 1.4.6 /). Alternativ können Sie es aus dem EPEL-Repository installieren.

Einführung von rkhunter

• Laden Sie rkhunter herunter # wget https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz --Unzip # tar xzvf rkhunter-1.4.6.tar.gz

--Installation von rkhunter # cd rkhunter-1.4.6 # ./installer.sh --install

Wenn Sie aus dem EPEL-Repository installieren, führen Sie die folgenden Schritte aus.

--Installation von Epel-Release # yum install -y epel-release --Installation von rkhunter # yum install rkhunter

Führen Sie rkhunter aus

Die Betriebseinstellungen von rkhunter sind in / etc / rkhunter.conf festgelegt, und das Standarddatenbankverzeichnis ist / var / lib / rkhunter / db. Wenn Sie die Root-Kit-Erkennung durchführen, wird das Protokoll in die Datei / var / log / rkhunter.log ausgegeben.

--rkhunter Update # rkhunter --update

• Aktualisieren Sie den Status der Befehlsausführungsdatei # rkhunter --propupd --Root Kit-Erkennung (--check führt die Root-Kit-Erkennung aus, -skip-keypress gibt keine Eingabetaste ein, --report-warnings-only zeigt nur Warnungen zu Befehlsergebnissen an ) # rkhunter --check --skip-keypress --report-warnings-only

maldetect（Linux Malware Detect） maldetect (Linux Malware Detect) ist ein kostenloses Tool zur Erkennung von Malware, das unter der Lizenz von ** GNU GPLv2 ** veröffentlicht wurde. Siehe R-FX NETWORKS für den offiziellen Blog.

Die Merkmale von Maledetect sind wie folgt.

• Automatische Aktualisierung der Signatur (*) zur Erkennung von Malware --ClamAV wird als Open-Source-Antivirensoftware für die Erkennungs-Engine verwendet. --Erstellen Sie eine Datenbank mit Informationen zum zu erkennenden Dateisystem und vergleichen Sie diese mit den überprüften Informationen, um Manipulationen zu erkennen.

(*) Byte-Sequenz, die bestimmten Malware-Beispielen gemeinsam ist

Einführung von Maledetect

--Herunterladen # wget http://www.rfxn.com/downloads/maldetect-current.tar.gz --Unzip # tar xzvf maldetect-current.tar.gz --Installation # cd maldetect-1.6.4/
# ./install.sh

Der von maldetect installierte Cronjob wird in "/ etc / cron.daily / maldet" bereitgestellt. Es ist so eingestellt, dass Signaturen regelmäßig gescannt und aktualisiert werden.

Führen Sie maldetect aus

Wenn Sie keine Betriebseinstellungen für maldetect angeben, wird es in / usr / local / maldetect / conf.maldet installiert.

--Aktualisieren # maldet --update

• Malware-Scan durchführen (Targeting auf das angegebene Verzeichnis ausführen) # maldet --scan-all <Verzeichnis>

abschließend

Wenn Sie einen Server erstellen und betreiben, sind Sie für die Verwaltung des Systems verantwortlich.

Systemmanagement ist eine Sammlung von Wissen. Sie können die Sicherheit verbessern, indem Sie OSS usw. verwenden, ohne zu viel Geld auszugeben.