快速业务通道

Linux下Rootkit的另类检测

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-05-16
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> LinuxRootkit的另类检测 当黑客获取管理员权限时,是抹掉入侵系统的相关记录,并且隐藏自己的行踪,要实现这一目的最常用的方法就是使用Rootkits,简单的说,Rootkits是一种经修改的攻击脚本、系统程序,用于在一个目标系统中非法获取系统的最高控制权限.Rootkits被广泛使用,它允许攻击者获得后门级访问.过去,Rootkits通常是替换操作系统中的正常二进制执行程序,如Iogin程序、ifconfig程序等.但这两年来Rootkits发展很快,发展到直接对底层内核进行操作,而不再需要去修改单个的程序.通过修改操作系统核心,内核级的Rootkits使一个被修改内核的操作系统看上去和正常的系统没有区别,它们通常都包含重定向系统调用的能力.因此,当用户执行类似psnetstatifconfig之类的指令的时候,实际执行的是一个特洛伊的版本.这些工具还可以隐藏进程、文件和端口使用情况等,用户将得不到真实的系统情况报告. Rootkits防御办法:防御Rootkits的最有效的方法时定期的对重要系统文件的完整性进行核查,这类的工具很多,像Tripwire就是一个非常不错的文件完整性检查工具.一但发现遭受到Rootkits攻击,那就比较麻烦了, 完全重装所有的系统文件部件和程序, 以确保安全性. 这里再向大家介绍一个简单易用的Linux下的Rootkits检测方法.Zeppoo是一款小巧的、优秀的Linux下的Rootkits检测工具.Zeppoo允许Linux系统管理员在i386硬件体系下监控/dev/kmem /dev/mem中是否存有Rootkits存在的迹象.Zeppoo可以检测隐藏的系统任务、模块、syscalls、恶意符号和隐藏的连接.让Linux系统管理员根据Zeppoo发现的隐藏的、非法的程序来及时的判断是否LinUX系统中存在Rootkits. Zeppoo的使用 下载及安装 可以到[url]http://www.sourceforgecn.net/Projects/z/ze/zeppoo/index.htm[/url]下载到为zeppoo-0.0.4.tar.gz的压缩包.解压缩后安装步骤如下: #cd zeppoo #make;make install 如下图: 基本命令格式如下: zeppoo -参数 列出系统任务 -P 显示在内存中运行的任务. 列出SYSCALLS -s显示系统调用. 列出IDT 任务的UIDGID、文件名和内存地址等重要参数. #zeppoo -p -d /dev/mem 检测和显示所有隐藏任务,如果Zeppoo没有在内存中检测到可疑任务,Zeppoo则会提示“没有隐藏任务,您的系统看上去是安全的”,当然,这个提示只能作为参考,系统管理员还要进行进一步的认证分析: #zeppoo -c -p

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号