Blog entry by 管理者 使用者

Picture of 管理者 使用者
by 管理者 使用者 - Tuesday, 5 July 2016, 10:02 AM
Anyone in the world

為了主機的安全性,多年來一直透過安裝chkroot來基本確認主機是否為入侵,目前chkroot是0.50的版本,在CentOS7上安裝很容易,先下載下來後,再tar解開即可,然後切換chkroot的目錄下就可以作test了!!

# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

# tar zxvf chkrootkit.tar.gz

# cd ./chkrootkit-0.50

# ./chkrootkit (就可以執行了!!)

f01

不過在CentOS7之後,會有一個Suckit誤判的狀況「Searching for Suckit rootkit... Warning: /sbin/init INFECTED」,可以修改chkroot的程式來解決

# nano ./chkrootkit (找到約986行)

     then
     if ! rpm -V `rpm -qf /sbin/init` >/dev/null 2>&1;

原來程式片段

f02

下圖加上上面兩行的程式片段(如紅色框)

f03

附檔連結是小弟簡單寫的chk_mail.php,可以透過cron設定後,每天寄mail給管理者,確認目前主機是否有被入侵的可能!!

Comments