使用chkrootkit工具软件
< 入侵监测系统的构建( chkrootkit ) > (最近更新日:2006/08/24)
前 言
所谓 rootkit ,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够常时入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件 chkrootkit 来建立入侵监测系统,来保证对系统是否被安装了 rootkit 进行监测。
chkrootkit 在监测 rootkit 是否被安装的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将 chkrootkit 使用的系统命令也做修改,使得 chkrootkit 无法监测 rootkit ,从而达到即使系统安装了 chkrootkit 也无法检测出 rootkit 的存在,从而依然对系统有着控制的途径,而达到入侵的目的。那样的话,用 chkrootkit 构建入侵监测系统将失去任何意义。对此,我 们在操作系统刚被安装之后,或者说服务器开放之前,让 chkrootkit 就开始工作。而且,在服务器开放之前,备份 chkrootkit 使用的系统命 令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让 chkrootkit 使用初始备份的系统命令进行工作。
安装 chkrootkit
首先来下载和安装 chkrootkit 工具。
[root@sample ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ← 下载chkrootkit
--03:05:31– ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
=> `chkrootkit.tar.gz’
Resolving ftp.pangeia.com.br… 200.239.53.35
Connecting to ftp.pangeia.com.br200.239.53.35:21… connected.
Logging in as anonymous … Logged in!
==> SYST … done. ==> PWD … done.
==> TYPE I … done. ==> CWD /pub/seg/pac … done.
==> PASV … done. ==> RETR chkrootkit.tar.gz … done.
Length: 37,140 (36K) (unauthoritative)
100%[====================================>] 37,140 5.67K/s ETA 00:00
03:05:46 (5.30 KB/s) - `chkrootkit.tar.gz’ saved [37140]
[root@sample ~]# tar zxvf chkrootkit.tar.gz ← 展开被压缩的源代码
[root@sample ~]# cd chkrootkit* ← 进入chkrootkit源代码的目录
[root@sample chkrootkit-0.46a]# make sense ← 编译
[root@sample chkrootkit-0.46a]# cd .. ← 返回上层目录
[root@sample ~]# cp -r chkrootkit-* /usr/local/chkrootkit ← 复制编译后文件所在的目录到指定位置
[root@sample ~]# rm -rf chkrootkit* ← 删除遗留的源代码目录及相关文件
测试 chkrootkit
然后测试 chkrootkit 是否能够正常运行。
[root@sample ~]# cd /usr/local/chkrootkit ← 进入chkrootkit的目录
[root@sample chkrootkit]# ./chkrootkit grep INFECTED ← 测试运行chkrootkit
稍等片刻…如果没有显示“INFECTED”字样,而直接出现命令行提示符,说明一切OK!
[root@sample chkrootkit]# cd ← 回到root用户目录
让 chkrootkit 的监测自动化
用Shell Script编写一段脚本,通过这个脚本让chkrootkit的监测自动化。如有rootkit被发现的时候,发送邮件通知root用户,并且将运行结果保存在/var/log/messages文件中。
[root@sample ~]# vi chkrootkit ← 建立chkrootkit自动运行脚本
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
# Run the chkrootkit
/usr/local/chkrootkit/chkrootkit > $TMPLOG
# Output the log
cat $TMPLOG logger -t chkrootkit
# bindshe of SMTPSllHow to do some wrongs
if [ ! -z “$(grep 465 $TMPLOG)” ] && \
[ -z $(/usr/sbin/lsof -i:465grep bindshell) ]; then
sed -i ‘/465/d’ $TMPLOG
fi
# If the rootkit have been found,mail root
[ ! -z “$(grep INFECTED $TMPLOG)” ] && \
grep INFECTED $TMPLOG mail -s “chkrootkit report in `hostname`“ root
rm -f $TMPLOG
[root@sample ~]# chmod 700 chkrootkit ← 赋予脚本可被执行的权限
[root@sample ~]# mv chkrootkit /etc/cron.daily/ ← 将脚本移动到每天自动运行的目录中
chkrootkit 相关的系统命令的备份
如前言所述,当chkrootkit使用的系统命令被入侵者更改后,chkrootkit对 rootkit的监测将失效。所以,我们事前将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始命令,让chkrootkit对 rootkit进行检测。
[root@sample ~]# mkdir /root/commands/ ← 建立暂时容纳命令备份的目录
[root@sample ~]# cp `which –skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/ ← (连续输入无换行)备份系统命令到建立好的目录
[root@sample ~]# /usr/local/chkrootkit/chkrootkit -p /root/commandsgrep INFECTED ← 用备份的命令运行chkrootkit
[root@sample ~]# tar cvf /root/commands.tar /root/commands/ ← 将命令打包
[root@sample ~]# gzip /root/commands.tar ← 将打包的文件压缩
然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方
[root@sample ~]# rm -rf commands* ← 为安全起见,删除服务器端备份的系统命令及相关文件
如果以后想通过备份的原始系统命令来运行chkrootkit的时候,只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩,然后运行在chkrootkit的时候指定相应的目录即可。例如,假设已经将备份上传至root用户目录的情况如下:
[root@sample ~]# tar zxvf /root/commands.tar.gz ← 解开压缩的命令备份
[root@sample ~]# /usr/local/chkrootkit/chkrootkit -p /root/commandsgrep INFECTED ← 用备份的命令运行chkrootkit
然后在运行后删除相应遗留文件即可。
RubyScript2exe vs Exerb
RubyScript2exe和Exerb都是把.rb(.rbw)文件”变”成windows环境下可独立运行的exe文件的工具
这两个工具我都用了一段时间,下面把我的心得和大家分享一下。
一、安装
1.RubyScript2exe的安装方式非常简单,直接通过gem就可以
CODE:
gem install rubyscript3exe
2.Exerb不能通过gem安装,不过安装方式也十分方便。
首先到exerb的官方网站下载exerb.链接在页面中间那个位置。
找不到的化(汗..)请点击下载exerb
解压下载下来的zip文件,用命令行进去运行里面的setup.rb即可
CODE:
ruby setup.rb
二、使用
1. 使用RubyScript2exe,只需要打开命令行,输入
CODE:
rubyscript2exe 文件路径
就可以了
它会先执行一遍程序,过程中寻找程序都用到了什么文件,等待一段时间(挺长的)后,会在与.rb 文件相同的目录下生成一个
同名exe文件
2.Exerb相比rubyscript2exe来说功能就强大的多了。
直接在命令行下输入
CODE:
exerb 文件路径
的话可以得到一个单纯由你的rb文件生成的exe,体积很小,但只能在装有ruby的机器上运行。
如果想要一个
可以独立运行的exe的话需要这么做
CODE:
mkexy 文件路径
exerb 生成的.exy文件的路径
可以打开.exy文件看一下,前面有这么一段
general:
startup: hello.rb
core: cui
kcode: none
如果我们把cui改称gui,就可以用来生成gui程序了~,此外还可以在kcode里改变文件的编码。
三、比较
1.难度:都很简单,两者相当
2.功能:自然是exerb的功能更多一点
3.速度:有些时候是用rubyscript2exe的速度让人难以忍受(至少让我难以忍受),而exerb就快的多了,一般虽然需要两步完成(mkexy,exerb)但还是要比rubyscript2exe快不少
4.大小:同样一个rb文件,通常是exerb生成的exe要小一些。(原因不明)
5.其他:经尝试只有用exerb的mkexy功能才能生成一个完美的gui程序。
把.rb改成.rbw然后用rubyscript2exe也可以,但是运行的时候会先出现一个命令行窗口,然后才是你的程序……
经过多方面的比较,exerb从总体上来讲要比rubyscript2exe要优秀,
以上仅供参考,大家按照自己的需要来选择吧~
如何“编译”Python程序
●如何“编译”Python程序
主要更新记录:
2005年6月4日更新,添加movpy条目。同时针对http://blender.blogchina.com/1776425.html,做如下申明:
凡欲转载、部分转载、引用我原创的文章,请标明作者是牡蛎,同时请给出原始连接;你可以部分转载、引用我的文章,前提是这不会引起他人误解我的原意。未经书面允许,我的文章、文章部分不可以用于商业用途(含传统出版物、需要积分或者虚拟货币才可以浏览的网上内容)。如果你不同意,请勿转载、部分转载、引用。谢谢合作。
2005年11月更新,添加Shed Skin - A Python-to-C++ Compiler、Psyco、PyPy、pyc。今天的更新就像在说绕口令。
2006年01月24日,movpy变成商业软件了 :(
2006年11月26日,添加了对“反编译”“编译”之后的文件的看法
2006年12月06日,添加Jungle
如何编译Python程序(或者如何由Python生成可执行文件)是一个非常常见的问题,总是有人问,列出来,google搜索的时候就可以看到了。如果还有人说”找不到相关资料”,唯一的解释就是这个人太懒了,根本没有去找。
如果转载,请注明作者是牡蛎,出自http://blender.blogchina.com/523381.html。
0. Python(及其它高级的脚本语言)不存在把指令编译到本地代码的工具,但是总是可以发布可执行文件。
py2exe http://py2exe.sf.net
只支持windows平台,应该是大家听到最多的一个名字了,用户不少,所以有问题的话在它的mail list里面很容易找到答案。文档中提到了”无法找到某某code”、使用opengl等模块的问题
PyPackage http://codereactor.net/projects/pypack/index.html
我觉得py2exe等等工具还是罗嗦得像唐僧,需要在配置文件中写上需要的数据文件。作者完全无视这样一个事实:我需要发布可执行文件的时候,程序已经完工了,所有的数据文件就在主程序所在目录下,所以多数情况下,根本不用到别的地方搜索。现在终于有人站了出来,PyPackage实际上并不是一个程序打包的工具,而只是简化py2exe的操作,甚至可以自动调用InnoSetup 5制作安装文件——不过这个软件并不智能,会打包很多不需要的文件
Installer http://www.mcmillan-inc.com/installer_dnld.html
可以产生windows、linux平台的可执行文件,现在作者主页连不上去了,但是搜索一下可以在其它地方下载
自带一个小程序写配置文件,如果程序较复杂,还是需要手工修改这个配置文件。支持从py15以来的所有Python版本
2005年9月,冰冻牡蛎更新:Giovanni Bajo获得Gordon McMillan’s Installer的授权、版权改变为GPL,并在http://pyinstaller.hpcf.upr.edu/继续开发PYinstaller。2006年9月更新:这里可以看到Gordon McMillan’s的原始网站的镜像
Python自带的freeze.py(不过windows版本不带这个,你可以自己下载Python的源程序再找)。这个是我最不推荐的一种方法(为什么?自己看),不过如果你的Python程序要发布到其它工具不支持的平台上,可以考虑这个方法
新出来的Pyco http://www.pythonapocrypha.com/projects/pyco/
还没用过
Squeeze http://starship.python.net/crew/fredrik/ipa/squeeze.htm
还没用过,只支持Python 1.4
cx_Freeze http://starship.python.net/crew/atuining/cx_Freeze/
winodws、linux平台。简单的程序甚至都不需要写配置文件
Stand alone Python for Windows http://arctrix.com/nas/python/standalone.html
如果你不介意源程序太过”暴露”的话,用这个吧
会不会觉得Updated: Sun, 09 Apr 2000 18:39:54 -0600 扎眼?如果你看一看它的VC源代码,就不会这么想了——其实这是普遍适用于win系统的方法,无论是98、2000或者xp。也许也可以用到linux上——我不懂linux,如果真的可以这么做,还请告诉我。
py2app http://undefined.org/python/
支持linux平台的工具可能也支持mac os,或者直接使用这个py2app。具体就不知道了,只吃过苹果,还没玩过苹果呢
Movable Python http://www.voidspace.org.uk/python/movpy/
这个其实是使用py2exe制作的、可以放在U盘上的绿色Python。有使用py2app制作苹果版movpy和用cx_Freeze制作Linux版movpy的计划。懒到都不愿意学习py2exe、py2app或者cx_Freeze的人可以看看。
Shed Skin - A Python-to-C++ Compiler: 试验项目,windows上,连他的例子我都没有编译成功 :(。
Psyco: 给Python程序加速的东西,看不出对发布Python程序的直接好处,并且作者以后将致力于PyPy。
PyPy: 项目目标是纯Python实现的Python、速度比CPython快,将来可以帮助实现编译Python。
pyc: Python compiler in Python,一个用纯Python写的Python的bytecode编译器,可以优化输出的pyc文件。和PyPy一样,现在还看不出对发布Python程序的直接好处。只有py24的bytecode。pyc是pyvm这个新的python虚拟机的一部分。
Jungle: 使用GNU工具(as、ld和winres)把Python程序编译到windows的exe可执行文件。该可执行文件只使用基于python24的的pythonic.dll。猜测它支持的模块仅限于内部模块以及jungle.jgl列出的模块。只有可执行文件下载,而这个可执行文件也是用Jungle自己编译的。目前版本号都到1.10了,经常看0.xx的版本号,这个数字好大啊,娃哈哈。
另类的方法,对Python语言特性都还不是100%支持,众多的CPython模块也不可以使用,还有,我也没有试过:
for .NET的Python编译器(如Visual Python、IronPython),不过我可不喜欢为了一个芝麻大的软件安装.NET framework
用jython,然后用jbuilder、jsmooth、NativeJ之类的包裹一下,或者用gcj编译成本地代码
2006年11月26日,近来有些人问,如何保护python开发的商业软件/闭源软件。
我的观点是,纯Python程序,又不想用C语言(其实C语言程序也可以破解,所以最好的方法就是不发布任何程序,嘿嘿),可以试试pyobfuscate混淆源代码,增加可能被反编译获得的源代码的阅读难度。不过pyobfuscate也好久没有更新了,娃哈哈。而实际上,没必要考虑别人会获得源代码的问题。 考虑(尤其是在自己的程序还没有写出来的时候)别人会反编译自己的Python程序,有点杞人忧天。
在*nix下的话,似乎可以(我不用*nix,并不确定)使用Python自带的freeze.py,把源程序的字节码转换成C程序,然后使用GCC编译,这样应该看不到字节码了。在windows下,不知道怎么使用freeze.py,总报错——谁知道的话告诉我吧。但是如果想实现跨平台,使用freeze.py的方法似乎不可取。
首先我相信,目前没有软件可以很好反编译Python 2.4及之后的版本生成的字节码,所以采用新版本Python“编译”到可执行文件,是安全的。
其次,据我所知,目前最成熟的反编译软件只有decompyle。而不是象某些人为了夸大问题的重要性,而口吐莲花所说的“现在有很多Python的反编译软件”。而我不相信有人愿意花钱买这个“唯一的且很多的”反编译软件,理由有二
看看decompyle页面更新日期,是2004年。我猜测作者把这个软件商业化之后并不成功,并没有太多人需要反编译自己或者他人的Python程序。导致作者没有足够的收入或者兴趣继续完善了
有人愿意花钱去反编译一个还不存在地软件,或者一个不出名的程序?
次成熟的反编译软件是decompiler.py。但是它比商业软件decompyle差远了。我没有去做试验,是他自己的主页承认说有很多局限的。
最后,真诚请教那些有“很多”Python反编译程序的高手,两个问题:
subsystem.htm
这是将数独游戏和消除游戏结合起来的益智游戏,未注册的话,只能累积玩60分钟。这是Python+pygame制作的软件,使用py2exe发布,可否麻烦高手——别怕,我不要它的源程序——看看它的注册部分,整个注册机/注册码出来?
wingide
这个有名的Python商业ide,我不确定它是不是使用py2exe制作的,而且它的规模比较大。我对它的源代码有点兴趣,有人说看不到它的源代码,但是我觉得\bin\2.4\src.zip里面的一堆pyo,是如假包换的源代码的字节码,如果真是如此,麻烦高手在空余时间,反编译一份喽。
yum update openssh
yum update openssh
Setting up Update Process
Setting up repositories
update 100% ========================= 951 B 00:00
base 100% ========================= 1.1 kB 00:00
addons 100% ========================= 951 B 00:00
extras 100% ========================= 1.1 kB 00:00
Reading repository metadata in from local files
Resolving Dependencies
--> Populating transaction set with selected packages. Please wait.
-–> Package openssh.i386 0:3.9p1-8.RHEL4.24 set to be updated
--> Running transaction check
--> Processing Dependency: openssh = 3.9p1-8.RHEL4.20 for package: openssh-askpass-gnome
--> Processing Dependency: openssh = 3.9p1-8.RHEL4.20 for package: openssh-clients
--> Processing Dependency: openssh = 3.9p1-8.RHEL4.20 for package: openssh-server
--> Processing Dependency: openssh = 3.9p1-8.RHEL4.20 for package: openssh-askpass
--> Restarting Dependency Resolution with new changes.
--> Populating transaction set with selected packages. Please wait.
-–> Package openssh-askpass-gnome.i386 0:3.9p1-8.RHEL4.24 set to be updated
-–> Package openssh-askpass.i386 0:3.9p1-8.RHEL4.24 set to be updated
-–> Package openssh-clients.i386 0:3.9p1-8.RHEL4.24 set to be updated
-–> Package openssh-server.i386 0:3.9p1-8.RHEL4.24 set to be updated
--> Running transaction check
Dependencies Resolved
=============================================================================
Package Arch Version Repository Size
=============================================================================
Updating:
openssh i386 3.9p1-8.RHEL4.24 base 323 k
Updating for dependencies:
openssh-askpass i386 3.9p1-8.RHEL4.24 base 51 k
openssh-askpass-gnome i386 3.9p1-8.RHEL4.24 base 33 k
openssh-clients i386 3.9p1-8.RHEL4.24 base 345 k
openssh-server i386 3.9p1-8.RHEL4.24 base 211 k
Transaction Summary
=============================================================================
Install 0 Package(s)
Update 5 Package(s)
Remove 0 Package(s)
Total download size: 964 k
Is this ok [y/N]: y
Downloading Packages:
(1/5): openssh-askpass-gn 100% ========================= 33 kB 00:00
(2/5): openssh-askpass-3. 100% ========================= 51 kB 00:00
(3/5): openssh-3.9p1-8.RH 100% ========================= 323 kB 00:03
(4/5): openssh-clients-3. 100% ========================= 345 kB 00:02
(5/5): openssh-server-3.9 100% ========================= 211 kB 00:01
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : openssh ####################### [ 1/10]
Updating : openssh-askpass-gnome ####################### [ 2/10]
Updating : openssh-askpass ####################### [ 3/10]
Updating : openssh-clients ####################### [ 4/10]
Updating : openssh-server ####################### [ 5/10]
Cleanup : openssh-askpass-gnome ####################### [ 6/10]
Cleanup : openssh-askpass ####################### [ 7/10]
Cleanup : openssh ####################### [ 8/10]
Cleanup : openssh-clients ####################### [ 9/10]
Cleanup : openssh-server ####################### [10/10]
Updated: openssh.i386 0:3.9p1-8.RHEL4.24
Dependency Updated: openssh-askpass.i386 0:3.9p1-8.RHEL4.24 openssh-askpass-gnome.i386 0:3.9p1-8.RHEL4.24 openssh-clients.i386 0:3.9p1-8.RHEL4.24 openssh-server.i386 0:3.9p1-8.RHEL4.24
Complete!
查看linux版本信息
下面介绍几种查看linux版本信息的方法:
1)uname -a
2)cat /proc/version
3)cat /etc/issue
补充一个:
- ls /boot
这个下面是一些系统引导文件,主要包括内核映像(内核的压缩文件),系统默认会带上它们的版本号,所有也可以看出内核的版本,不过如果要查看当前正在运行的系统的版本号,而/boot下有多个内核版本,那么还是需要用上面的三种办法。
感谢兄弟的佳能24-85.24端试拍.
[gallery]