Solaris服务器防范rootkit攻击攻略

　　五、使用chkrootkit工具软件

　　chkrootkit简介

　　仅仅做了以上工作是不够的，Linux和几乎所有的UNIX都支持LKM(Loadable Kernel Modules)，用普通的方法无法检测其存在，这给应急响应带来了极大的挑战性。对于我们来说，解决的办法是找到那些rootkit.所谓 rootkit， 就是有心人士， 整理一些些常用的木马程序，做成一组程序套件， 以方便 黑客攻入主机时， 在受害的主机上，顺利地编译和安装木马程序。有时lkm rootkit虽然被成功装载，但在系统的某些细节上会出现“异常”，甚至可能使系统在运行一段时间后彻底崩溃。还有，lkm虽然活动在ring0核心态，但是攻击者往往会在系统的某处留下痕迹，比如攻击者为了让系统每次关闭或重启后能自动装入他安置的内核后门，可能会改写 /etc/modules.conf或/etc/rc.local等。我们可以通过chkrootkit来检测。 在此 介绍 http://www.chkrootkit.org/ 推出的 chkrootkit.

　　顾名思义, chkrootkit 就是, 检查 rootkit 是否存在的一种便利工具.chkrootkit 可以在以下平台使用:

　　Linux 、FreeBSD 、OpenBSD 、Solaris HP-UX , Tru64, Mac OS X截至目前(05/08/2001)为止, 最新版本是: chkrootkit v0.48 。它可以侦测以下63种 rootkit 及 worm，如表-1 。

　　1.配置pkg-get

　　solairs有一种工具，这就是pkg_get,由blastwave.org推出的。用作者的话说是：“一个用来自动抓取www.sunfreeware.com上的包的工具. 模拟了Debian linux上的"apt-get".”传统的Solaris命令功能并不够强大--这个软件可以补充很多包管理的功能。这个工具简单到仅使用如下命令就可以获取sunfreeware.com上一个包的最新版本。

# pkg-get installsoftwore

　　这条命令会自动下载适合你的体系结构和为你的OS修订的版本software(如果存在的话)，并安装它。如果你已安装了一个较老的版本，就可以使用'upgrade'代替 'install'，这样就会用新的版本覆盖老的版本(即升级)。

　　下载pkg-get： http://www.blastwave.org/pkg_get.pkg

　　安装pkg-get： #pkgadd -d pkg_get.pkg all

　　如果在solaris8下安装有问题，请打下面几个补丁patch：

　　110380-04 (x86 110403)

　　110934-11 (x86 110935)

　　pkg-get将会安装在/opt/csw/bin/目录下。从blastwave安装的软件均安装到该目录中，请把/opt/csw/bin/设置到你的PATH环境变量中。编辑/etc/profile文件：

PATH=/opt/csw/bin:/usr/sfw/bin:/usr/sbin:/usr/bin:/usr/openwin/bin:/usr/dt/bin:/usr/ccs/bin

　　2.pkg-get主要参数

　　pkg-get -a ：显示所有软件包。

　　pkg-get -i gcc ：安装gcc软件及其使用相关库文件。

　　pkg-get -D open ：搜索所有相关软件包

　　pkg-get -U 升级使用软件包

　　3.使用pkg-get在线安装chkrootkit

pkg-get install chkrootkit

　　4.独立下载安装chkrootkit

#wegt http://mirrors.easynews.com/sunfreeware/i386/10/chkrootkit-0.45-sol10-intel-local.gz
　　#gunzip chkrootkit-0.45-sol10-intel-local.gz
　　#pkgadd –d chkrootkit-0.45-sol10-intel-local

　　图2是chkrootkit安装成功界面。

　　 图2 chkrootkit安装成功界面