***監測系統的構建（chkrootkit ）

所謂rootkit，是一類***者常常使用的工具。這類工具一般很是的隱祕、令用戶不易察覺，經過這類工 具，***者創建了一條可以總可以***系統，或者說對系統進行實時控制的途徑。因此，咱們用自由軟件chkrootkit來創建***監測系統，來保證對系統 是否被安裝了rootkit進行監測。
chkrootkit在監測rootkit是否被安裝的過程當中，須要使用到一些操做系統自己的命令。但不 排除一種狀況，那就是***者有針對性的已經將  chkrootkit使用的系統命令也作修改，使得chkrootkit沒法監測rootkit，從而達到即便系統安裝了chkrootkit也沒法檢測 出rootkit的存在，從而依然對系統有着控制的途徑，而達到***的目的。那樣的話，用chkrootkit構建***監測系統將失去任何意義。對此，我 們在操做系統剛被安裝以後，或者說服務器開放以前，讓chkrootkit就開始工做。並且，在服務器開放以前，備份chkrootkit使用的系統命 令，在一些必要的時候（懷疑係統命令已被修改的狀況等等），讓chkrootkit使用初始備份的系統命令進行工做。
安裝 chkrootkit
下載和安裝 chkrootkit 工具

安裝chkrootkit
#wgethttp://down1.chinaunix.net/distfiles/chkrootkit-0.46a.tar.gz

#tar  xf  chkrootkit-0.46a.tar.gz

#cd   chkrootkit-0.46a

#make  sense  //編譯

#cd ..

#cp  -r  chkrootkit-0.46a  /usr/local/chkrootkit

#rm  -r  chkrootkit-0.46a

測試chkrootkit

#cd   /usr/local/chkrootkit

#./chkrootkit | grep  INFECTED

#cd 

chkrootkit 的監測自動化

# vi chkrootkit  ← 創建chkrootkit自動運行腳本

#!/bin/bash

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

# Run the chkrootkit

/usr/local/chkrootkit/chkrootkit > $TMPLOG

# Output the log

cat $TMPLOG | logger -t chkrootkit

# bindshe of SMTPSllHow to do some wrongs

if [ ! -z "$(grep 465 $TMPLOG)" ] && \

[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then

sed -i '/465/d' $TMPLOG

fi

# If the rootkit have been found,mail root

[ ! -z "$(grep INFECTED $TMPLOG)" ] && \

grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

rm -f $TMPLOG

# chmod 700 chkrootkit  ← 賦予腳本可被執行的權限

# mv chkrootkit /etc/cron.daily/  ← 將腳本移動到天天自動運行的目錄中

chkrootkit 相關的系統命令的備份

  如前言所述，當chkrootkit使用的系統命令被***者更改後，chkrootkit對 rootkit的監測將失效。因此，咱們事前將chkrootkit使用的系統命令進行備份，在須要的時候使用備份的原始命令，讓chkrootkit對 rootkit進行檢測。

# mkdir /root/commands/  ← 創建暫時容納命令備份的目錄

# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/  ← （連續輸入無換行）備份系統命令到創建好的目錄

# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED  ← 用備份的命令運行chkrootkit

# tar cvf /root/commands.tar /root/commands/ ← 將命令打包

# gzip /root/commands.tar  ← 將打包的文件壓縮

而後將壓縮後的commands.tar.gz用SCP軟件下載到安全的地方

# rm -rf commands*   ← 爲安全起見，刪除服務器端備份的系統命令及相關文件

  若是之後想經過備份的原始系統命令來運行chkrootkit的時候，只需用SCP軟件將備份的命令打包壓縮文件上傳至服務器端已知位置並解壓縮，而後運行在chkrootkit的時候指定相應的目錄便可。例如，假設已經將備份上傳至root用戶目錄的狀況以下：

# tar zxvf /root/commands.tar.gz  ← 解開壓縮的命令備份

# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用備份的命令運行chkrootkit

而後在運行後刪除相應遺留文件便可。

可查詢官方網站：

[url]http://www.chkrootkit.org/