构建一个入侵监测系统(chkrootkit)

　　所谓rootkit，是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉，通 过这类工具，入侵者建立了一条能够入侵系统，或者说对系统进行实时控制的途径。所以，我们用自由软件(开放源代码)chkrootkit来建立入侵监测系 统，以保证对系统是否被安装了rootkit进行监测。

　　chkrootkit在监测rootkit是否存在的过程中，需要使用到一些操作系统本身的命令。但不排除一种情况，那就是入侵者有针对性的已经将 chkrootkit使用的系统命令也做修改，使得chkrootkit无法监测rootkit，从而达到即使系统被安装了chkrootkit也无法检 测出它的存在。那样的话，用chkrootkit构建入侵监测系统将失去任何意义。对此，我们在刚刚安装完操作系统以后，或者说是服务器开放之前，让 chkrootkit就开始工作。而且，当备份chkrootkit使用的系统命令，在一些必要的时候（怀疑系统命令已被修改的情况等等），让 chkrootkit使用初始备份的系统命令进行工作。

安装 chkrootkit

首先我们来下载和安装 chkrootkit 工具。（红色文字部分为用户需要输入的命令，蓝色文字为命令解释）

[root@localhost ~]#wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz　← 下载chkrootkit

--03:05:31-- 

ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz => `chkrootkit.tar.gz'
Resolving ftp.pangeia.com.br... 200.239.53.35
Connecting to ftp.pangeia.com.br|200.239.53.35|:21... connected.
Logging in as anonymous ... Logged in!
==> SYST ... done. ==> PWD ... done.
==> TYPE I ... done. ==> CWD /pub/seg/pac ... done.
==> PASV ... done. ==> RETR chkrootkit.tar.gz ... done.
Length: 37,140 (36K) (unauthoritative) 

100%[====================================>] 37,140 5.67K/s ETA 00:00

03:05:46 (5.30 KB/s) - `chkrootkit.tar.gz' saved [37140]

[root@localhost ~]# tar zxvf chkrootkit.tar.gz 　← 展开被压缩的源代码

[root@localhost ~]# cd chkrootkit* 　← 进入chkrootkit源代码的目录

[root@localhost chkrootkit-0.46a]# make sense 　← 编译

[root@localhost chkrootkit-0.46a]# cd .. 　← 返回上层目录

[root@localhost ~]# cp -r chkrootkit-* /usr/local/chkrootkit 　← 复制编译后文件所在的目录到指定位置

[root@localhost ~]# rm -rf chkrootkit* 　← 删除遗留的源代码目录及相关文件

测试 chkrootkit

现在我们来测试 chkrootkit 是否能够正常运行。

[root@localhost ~]# cd /usr/local/chkrootkit　 ← 进入chkrootkit的目录

[root@localhost chkrootkit]# ./chkrootkit | grep INFECTED　 ← 测试运行chkrootkit

稍等片刻…如果没有显示“INFECTED”字样，而直接出现命令行提示符，说明一切OK！

[root@localhost chkrootkit]# cd 　 ← 回到root用户目录

让 chkrootkit 的监测自动化

　　用Shell Script编写一段脚本，通过这个脚本让chkrootkit的监测自动化。如有rootkit被发现的时候，就会发送邮件通知root用户，并且将运行结果保存在/var/log/messages文件中。

[root@localhost ~]# vi chkrootkit　 ← 建立chkrootkit自动运行脚本

#!/bin/bash 

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

# Run the chkrootkit
/usr/local/chkrootkit/chkrootkit > $TMPLOG

# Output the log
cat $TMPLOG | logger -t chkrootkit

# bindshe of SMTPSllHow to do some wrongs
if [ ! -z "$(grep 465 $TMPLOG)" ] && /
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi

# If the rootkit have been found,mail root
[ ! -z "$(grep INFECTED $TMPLOG)" ] && /
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

rm -f $TMPLOG

[root@localhost ~]# chmod 700 chkrootkit　 ← 赋予脚本可被执行的权限

[root@localhost ~]# mv chkrootkit /etc/cron.daily/　 ← 将脚本移动到每天自动运行的目录

chkrootkit 相关的系统命令的备份

　　如我们前面讲到的，当chkrootkit使用的系统命令被入侵者更改后，chkrootkit将对rootkit的监测失效。所以，我们要事前将 chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始命令，从新可以让chkrootkit对rootkit进行检测。

[root@localhost ~]# mkdir /root/commands/　 ← 建立暂时容纳命令备份的目录

[root@localhost ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/　 ← （连续输入无换行）备份系统命令到建立好的目录 

[root@localhost ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED　 ← 用备份的命令运行chkrootkit

[root@localhost ~]# tar cvf /root/commands.tar /root/commands/　← 将命令打包

[root@localhost ~]# gzip /root/commands.tar　 ← 将打包的文件压缩（然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方）

[root@localhost ~]# rm -rf commands* 　 ← 为安全起见，删除服务器端备份的系统命令及相关文件

　　如果以后想通过备份的原始系统命令来运行chkrootkit的时候，只需用SCP软件将备份的命令打包压缩文件上传至服务器端的目录并解压缩，然后运行在chkrootkit的时候指定相应的目录即可。例如，假设已经将备份上传至root用户目录的情况如下：

[root@localhost ~]# tar zxvf /root/commands.tar.gz　 ← 解开压缩的命令备份

[root@localhost ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED　← 用备份的命令运行chkrootkit

然后在运行后删除相应遗留文件即可。