Linux下Rootkit的另类检测

作者佚名技术来源 Linux系统浏览发布时间 2012-05-16

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> Linux下Rootkit的另类检测当黑客获取管理员权限时,是抹掉入侵系统的相关记录,并且隐藏自己的行踪,要实现这一目的最常用的方法就是使用Rootkits,简单的说,Rootkits是一种经修改的攻击脚本、系统程序,用于在一个目标系统中非法获取系统的最高控制权限.Rootkits被广泛使用,它允许攻击者获得后门级访问.过去,Rootkits通常是替换操作系统中的正常二进制执行程序,如Iogin程序、ifconfig程序等.但这两年来Rootkits发展很快,发展到直接对底层内核进行操作,而不再需要去修改单个的程序.通过修改操作系统核心,内核级的Rootkits使一个被修改内核的操作系统看上去和正常的系统没有区别,它们通常都包含重定向系统调用的能力.因此,当用户执行类似ps、netstat或ifconfig之类的指令的时候,实际执行的是一个特洛伊的版本.这些工具还可以隐藏进程、文件和端口使用情况等,用户将得不到真实的系统情况报告. Rootkits防御办法：防御Rootkits的最有效的方法时定期的对重要系统文件的完整性进行核查,这类的工具很多,像Tripwire就是一个非常不错的文件完整性检查工具.一但发现遭受到Rootkits攻击,那就比较麻烦了, 完全重装所有的系统文件部件和程序, 以确保安全性. 这里再向大家介绍一个简单易用的Linux下的Rootkits检测方法.Zeppoo是一款小巧的、优秀的Linux下的Rootkits检测工具.Zeppoo允许Linux系统管理员在i386硬件体系下监控/dev/kmem 和/dev/mem中是否存有Rootkits存在的迹象.Zeppoo可以检测隐藏的系统任务、模块、syscalls、恶意符号和隐藏的连接.让Linux系统管理员根据Zeppoo发现的隐藏的、非法的程序来及时的判断是否LinUX系统中存在Rootkits. Zeppoo的使用下载及安装可以到[url]http://www.sourceforgecn.net/Projects/z/ze/zeppoo/index.htm[/url]下载到为zeppoo-0.0.4.tar.gz的压缩包.解压缩后安装步骤如下： #cd zeppoo #make;make install 如下图：基本命令格式如下： zeppoo -参数列出系统任务 -P 显示在内存中运行的任务. 列出SYSCALLS -s显示系统调用. 列出IDT 任务的UID、GID、文件名和内存地址等重要参数. #zeppoo -p -d /dev/mem 检测和显示所有隐藏任务,如果Zeppoo没有在内存中检测到可疑任务,Zeppoo则会提示“没有隐藏任务,您的系统看上去是安全的”,当然,这个提示只能作为参考,系统管理员还要进行进一步的认证分析： #zeppoo -c -p

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

分享到：更多

你可能对下面的文章感兴趣

上一篇: 测试nfs在有数据活动时断线后是否能重新连接上下一篇: RedHatAS4.0-域名系统

关于Linux下Rootkit的另类检测的所有评论

随机推荐