连接到互联网的服务器整天都看到不断的攻击和扫描。虽然防火墙和定期的系统更新是确保系统安全的第一道防线,但你还是应该定期检查,确保没有攻击者闯入进来。本教程中介绍的几款工具就是为这种完整性检查而开发的,它们可以扫描查找恶意软件、病毒和rootkit。它们应该可以定期运行(比如说每晚运行),通过电子邮件将报告发给你。如果你看到可疑活动,比如负载大、可疑进程或者服务器突然开始发送恶意软件时,还可以使用Chkrootkit、Rkhunter和ISPProtect来扫描系统。
所有这些扫描工具都必须以root用户的身份来运行。以root用户的身份登录后继续下一步,或者在Ubuntu上运行“sudo su”,成为root用户。
Chkrootkit――Linux rootkit扫描工具
Chkrootkit是一款典型的rootkit扫描工具。它会检查你的服务器,查找可疑的rootkit进程,并检查已知的rootkit文件列表。
或者安装发行版随带的程序包(在Debian和Ubuntu上,你要运行),
apt-get install chkrootkit
或者从www.chkrootkit.org下载源代码,手动安装:
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tarxvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense
之后,你可以将chkrootkit目录移到别的某个地方,比如/usr/local/chkrootkit:
cd ..
mv chkrootkit-/ /usr/local/chkrootkit
并创建一个符号链接(symlink),以便易于访问:
ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit
想用chkrootkit来检查你的服务器,运行这个命令:
chkrootkit
一个常见的误报报告是:
Checking `bindshell'...
INFECTED (PORTS: 465)
如果你在电子邮件服务器上收到这个消息,用不着担心,这是你邮件系统的SMTPS(安全SMTP)端口和一个众所周知的误报。
你甚至可以通过计划任务(cron job)来运行chkrootkit,让结果通过电子邮件发给你。首先,使用下面这个命令,找到chkrootkit安装在服务器上的路径:
which chkrootkit
示例:
root@server1:/tmp/chkrootkit-0.50# which chkrootkit
/usr/sbin/chkrootkit
Chkrootkit安装在/usr/sbin/chkrootkit路径上,我们需要在下面的cron这一行有这个路径:
运行:
crontab -e
想创建就像这样的计划任务:
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of
my server" you@yourdomain.com)
这会在每晚3点运行chkrootkit。将chkrootkit路径换成你从上述命令获得的那条路径,并将电子邮件地址换成你的实际地址。
(责任编辑:安博涛)
