1.5 Linux 后门入侵检测工具

rootkit 是 Linux 平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。rootkit 攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐藏行迹，从而让攻击者保住权限，以使它在任何时候都可以使用 root 权限登录系统。

rootkit 主要有两种类型：文件级别和内核级别，下面分别进行简单介绍。

1.文件级别 rootkit

文件级别的 rootkit 一般是通过程序漏洞或者系统漏洞进入系统后，通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受 rootkit 攻击后，合法的文件被木马程序替代，变成了外壳程序，而其内部是隐藏着的后门程序。通常容易被 rootkit 替换的系统程序有 login、ls、ps、ifconfig、du、find、netstat 等，其中 login 程序是最经常被替换的，因为当访问 Linux 时，无论是通过本地登录还是远程登录，/bin/login 程序都会运行，系统将通过/bin/login 来收集并核对用户的账号和密码，而 rootkit 就是利用这个程序的特点，使用一个带有根权限后门密码的/bin/login 来替换系统的/bin/login，这样攻击者通过输入设定好的密码就能轻松进入系统。此时，即使系统管理员修改 root 密码或者清除 root 密码，攻击者还是一样能通过 root 用户登录系统。通常攻击者在进入 Linux 系统后，会进行一系列的攻击动作，最常见的是安装嗅探器收集本机或者网络中其他服务器的重要数据。在默认情况下，Linux 中也有一些系统文件会监控这些工具动作，例如 ifconfig 命令，所以，攻击者为了避免被发现，会想方设法替换其他系统文件，常见的就是 ls、ps、ifconfig、du、find、netstat 等。如果这些文件都被替换，那么在系统层面就很难发现 rootkit 已经在系统中运行了。

这就是文件级别的 rootkit，对系统维护威胁很大，目前最有效的防御方法是定期对系统重要文件的完整性进行检查，如果发现文件被修改或者替换，那么很可能系统已经遭受了 rootkit 入侵。检查文件完整性的工具很多，常见的有 Tripwire、aide 等，可以通过这些工具定期检查文件系统的完整性，以检测系统是否被 rootkit 入侵。

2.内核级别的 rootkit

内核级别 rootkit 是比文件级别 rootkit 更高级的一种入侵方式，它可以使攻击者获得对系统底层的完全控制权，此时攻击者可以修改系统内核，进而截获运行程序向内核提交的命令，并将其重定向到入侵者所选择的程序并运行此程序，也就是说，当用户要运行程序 A 时，被入侵者修改过的内核会假装执行 A 程序，而实际上却执行了程序 B。

内核级别 rootkit 主要依附在内核上，它并不对系统文件做任何修改，因此一般的检测工具很难检测到它的存在，这样一旦系统内核被植入 rootkit，攻击者就可以对系统为所欲为而不被发现。目前针对内核级的 rootkit 还没有很好的防御工具，因此，做好系统安全防范就非常重要，将系统维持在最小权限内工作，只要攻击者不能获取 root 权限，就无法在内核中植入 rootkit。

1.5.1 rootkit 后门检测工具 chkrootkit

chkrootkit 是 Linux 系统下查找并检测 rootkit 后门的一个工具，它的官方网站是：http://www.chkrootkit.org/。chkrootkit 没有包含在官方的 CentOS 源中，因此要采取手动编译的方法来安装，不过这种安装方法也更加安全。下面简单介绍下 chkrootkit 的安装过程。

1.准备 gcc 编译环境

对于 CentOS 系统，需要安装 gcc 编译环境，执行下述三个命令：

[root@server ~]# yum -y install gcc
[root@server ~]# yum -y install gcc-c++
[root@server ~]# yum -y install make

2.安装 chkrootkit

为了安全起见，建议直接从官方网站下载 chkrootkit 源码，然后进行安装，操作如下：

[root@server ~]# tar zxvf chkrootkit.tar.gz
[root@server ~]# cd chkrootkit-*
[root@server ~]# make sense
# 
注意，上面的编译命令为 make sense
[root@server ~]# cd ..
[root@server ~]# cp -r chkrootkit-* /usr/local/chkrootkit
[root@server ~]# rm -rf chkrootkit-*

3.使用 chkrootkit

安装完的 chkrootkit 程序位于/usr/local/chkrootkit 目录下，执行如下命令即可显示 chkrootkit 的详细用法：

[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkit  -h

chkrootkit 各个参数的含义如表 1-4 所示。

表 1-4 chkrootkit 各个参数的含义

chkrootkit 的使用比较简单，直接执行 chkrootkit 命令即可自动开始检测系统。下面是某个系统的检测结果：

[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkit
Checking `ifconfig'... INFECTED
Checking `ls'... INFECTED
Checking `login'... INFECTED
Checking `netstat'... INFECTED
Checking `ps'... INFECTED
Checking `top'... INFECTED
Checking `sshd'... not infected
Checking `syslogd'... not tested
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `telnetd'... not found

从输出结果可以看出，此系统的 ifconfig、ls、login、netstat、ps 和 top 命令已经被感染。针对被感染 rootkit 的系统，最安全而有效的方法就是备份数据并重新安装系统。

4.chkrootkit 的缺点

chkrootkit 在检查 rootkit 的过程中使用了部分系统命令，因此，如果服务器被黑客入侵，那么依赖的系统命令可能也已经被入侵者替换，此时 chkrootkit 的检测结果将变得完全不可信。为了避免 chkrootkit 的这个问题，可以在服务器对外开放前，事先将 chkrootkit 使用的系统命令进行备份，在需要的时候使用备份的原始系统命令让 chkrootkit 对 rootkit 进行检测。这个过程可以通过下面的操作实现：

[root@server ~]# mkdir /usr/share/.commands
[root@server ~]# cp `which --skip-alias awk cut echo find egrep id head ls netstat ps
strings sed uname` /usr/share/.commands
[root@server ~]# /usr/local/chkrootkit/chkrootkit -p /usr/share/.commands/
[root@server share]# cd /usr/share/
[root@server share]# tar zcvf commands.tar.gz .commands
[root@server share]#  rm -rf commands.tar.gz

上面这段操作是在/usr/share/下建立了一个.commands 隐藏文件，然后将 chkrootkit 使用的系统命令进行备份到这个目录下。为了安全起见，可以将.commands 目录压缩打包，然后下载到一个安全的地方进行备份，以后如果服务器遭受入侵，就可以将这个备份上传到服务器任意路径下，然后通过 chkrootkit 命令的“-p”参数指定这个路径进行检测即可。

1.5.2 rootkit 后门检测工具 RKHunter

RKHunter 是专业检测系统是否感染 rootkit 的一个工具，它通过执行一系列的脚本来确认服务器是否已经感染 rootkit。在官方资料中，RKHunter 可以做的事情有：

- MD5 校验测试，检测文件是否有改动

- 检测 rootkit 使用的二进制和系统工具文件

- 检测特洛伊木马程序的特征码

- 检测常用程序的文件属性是否异常

- 检测系统相关的测试

- 检测隐藏文件

- 检测可疑的核心模块 LKM

- 检测系统已启动的监听端口

下面详细讲述下 RKHunter 的安装与使用。

1.安装 RKHunter

RKHunter 的官方网站为：http://www.rootkit.nl/projects/rootkit_hunter.html，建议从这个网站下载 RKHunter，本书下载使用的版本是 rkhunter-1.4.0.tar.gz。RKHunter 的安装非常简单，具体过程如下：

[root@server ~]# ls
rkhunter-1.4.0.tar.gz
[root@server ~]# pwd
/root
[root@server ~]# tar -zxvf rkhunter-1.4.0.tar.gz 
[root@server ~]# cd rkhunter-1.4.0
[root@server rkhunter-1.4.0]# ./installer.sh  --layout default --install

这里采用 RKHunter 的默认安装方式，rkhunter 命令被安装到/usr/local/bin 目录下。

2.使用 rkhunter 命令

rkhunter 命令的参数较多，但是使用非常简单，直接运行 rkhunter 即可显示此命令的用法。下面简单介绍下 rkhunter 常用的几个参数选项。

[root@server ~]# /usr/local/bin/rkhunter
–help

rkhunter 的常用参数以及含义如表 1-5 所示。

表 1-5 rkhunter 常用参数的含义

下面是通过 RKHunter 对某个系统的检测示例。

[root@server rkhunter-1.4.0]# /usr/local/bin/rkhunter   -c 
[ Rootkit Hunter version 1.4.0 ]
#
下面是第一部分，先进行系统命令的检查，主要是检测系统的二进制文件，因为这些文件最容易被 rootkit
#
攻击。显示 OK
字样表示正常，显示 Warning
表示有异常，需要引起注意，而显示“Not found
”字样，一
#
般无需理会
Checking system commands...
  Performing 'strings' command checks
    Checking 'strings' command  [ OK ]
  Performing 'shared libraries' checks
    Checking for preloading variables   [ None found ]
    Checking for preloaded libraries    [ None found ]
    Checking LD_LIBRARY_PATH variable   [ Not found ]
  Performing file properties checks
    Checking for prerequisites  [ Warning ]
    /usr/local/bin/rkhunter     [ OK ]
    /sbin/chkconfig     [ OK ]
....(
略)....
[Press <ENTER> to continue]
#
下面是第二部分，主要检测常见的 rootkit
程序，显示“Not found
”表示系统未感染此 rootkit
Checking for rootkits...
  Performing check of known rootkit files and directories
    55808 Trojan - Variant A    [ Not found ]
    ADM Worm    [ Not found ]
    AjaKit Rootkit      [ Not found ]
    Adore Rootkit       [ Not found ]
aPa Kit [ Not found ]
    Apache Worm [ Not found ]
    Ambient (ark) Rootkit       [ Not found ]
    Balaur Rootkit      [ Not found ]
    BeastKit Rootkit    [ Not found ]
beX2 Rootkit    [ Not found ]
    BOBKit Rootkit      [ Not found ]
....(
略)....
[Press <ENTER> to continue]
#
下面是第三部分，主要是一些特殊或附加的检测，例如对 rootkit
文件或目录检测、对恶意软件检测以及
#
对指定的内核模块检测
  Performing additional rootkit checks
    Suckit Rookit additional checks     [ OK ]
    Checking for possible rootkit files and directories [ None found ]
    Checking for possible rootkit strings       [ None found ]
  Performing malware checks
    Checking running processes for suspicious files     [ None found ]
    Checking for login backdoors        [ None found ]
    Checking for suspicious directories [ None found ]
    Checking for sniffer log files      [ None found ]
  Performing Linux specific checks
    Checking loaded kernel modules      [ OK ]
    Checking kernel module names        [ OK ]
[Press <ENTER> to continue]
#
下面是第四部分，主要对网络、系统端口、系统启动文件、系统用户和组配置、SSH
配置、文件系统等进行
#
检测
Checking the network...
  Performing checks on the network ports
    Checking for backdoor ports [ None found ]
  Performing checks on the network interfaces
    Checking for promiscuous interfaces [ None found ]
Checking the local host...
  Performing system boot checks
    Checking for local host name        [ Found ]
    Checking for system startup files   [ Found ]
    Checking system startup files for malware   [ None found ]
  Performing group and account checks
    Checking for passwd file    [ Found ]
    Checking for root equivalent (UID 0) accounts       [ None found ]
    Checking for passwordless accounts  [ None found ]
....(
略)....
[Press <ENTER> to continue]
#
下面是第五部分，主要是对应用程序版本进行检测
Checking application versions...
    Checking version of GnuPG   [ OK ]
    Checking version of OpenSSL [ Warning ]
    Checking version of OpenSSH [ OK ]
#
下面是第六部分，这一部分其实是上面输出的一个总结，通过这个总结，可以大概了解服务器目录的安全状态
System checks summary
=====================
File properties checks...
    Required commands check failed
    Files checked: 137
    Suspect files: 4
Rootkit checks...
    Rootkits checked : 311
    Possible rootkits: 0
Applications checks...
    Applications checked: 3
    Suspect applications: 1
The system checks took: 6 minutes and 41 seconds

在 Linux 终端使用 RKHunter 来检测，最大的好处在于每项的检测结果都使用不同的颜色显示，如果是绿色的表示没有问题，如果是红色的，那就要引起关注了。另外，在上面执行检测的过程中，在每个部分检测完成后，需要以 Enter 键来继续。如果要让程序自动运行，可以执行如下命令：

[root@server ~]# /usr/local/bin/rkhunter --check --skip-keypress 

同时，如果想让检测程序每天定时运行，那么可以在/etc/crontab 中加入如下内容：

09 3 * * * root /usr/local/bin/rkhunter --check --cronjob 

这样，RKHunter 检测程序就会在每天的 9：30 运行一次。