6. 入侵检测

6.1. 入侵检测系统 (IDS)

入侵检测系统（简称 IDS）旨在捕获可能已通过防火墙的内容。它们可以设计为捕获正在进行的活动入侵尝试，或在事后检测成功的入侵。在后一种情况下，阻止任何损害为时已晚，但至少我们对问题有了早期的认识。IDS 主要有两种类型：保护网络的和保护单个主机的。

对于基于主机的 IDS，这是通过监视文件系统更改的实用程序完成的。以某种方式更改但本不应更改的系统文件——除非是我们自己做的——是表明出现问题的明显迹象。任何入侵并获得 root 权限的人，大概都会在系统的某个地方进行更改。这通常是首先完成的事情。要么是为了让他可以通过后门再次进入，要么是为了对其他人发起攻击。在这种情况下，他必须更改或添加文件到系统。

这就是 tripwire (http://www.tripwire.org) 等工具发挥作用的地方。Tripwire 从 Red Hat 7.0 开始包含在内。此类工具监视文件系统的各个方面，并将其与存储的数据库进行比较。并且可以配置为在检测到任何更改时发送警报。此类工具应仅安装在已知的 “干净” 系统上。

对于家庭桌面和家庭局域网，这可能不是整体安全策略的绝对必要组成部分。但它确实能让人安心，并且肯定有其地位。因此，就优先级而言，在深入研究此内容之前，请确保上述步骤 1、2 和 3 已实施并验证为可靠。

我们可以使用以下命令获得大致相同的结果rpm -Va，它将验证所有软件包，但没有所有相同的功能。例如，它不会注意到添加到大多数目录的新文件。它也不会检测到扩展属性已更改的文件（例如chattr +i，请参阅 chattr 手册页和 lsattr 手册页）。为了使其有用，需要在全新安装后以及每次升级或添加任何软件包时执行此操作。例如

# rpm -Va > /root/system.checked

然后我们有了一个存储的系统快照，我们可以参考它。

另一个想法是以每周 cron 任务的形式运行 chkrootkit (http://www.chkrootkit.org/)。这将检测常见的 “rootkit”。

6.2. 我被黑客入侵了吗？

也许您正在阅读本文是因为您注意到您的系统出现了一些 “奇怪” 的情况，并且怀疑有人入侵了？这可能是一个线索。

入侵者通常做的第一件事是安装 “rootkit”。互联网上有许多预先打包的 rootkit 可用。rootkit 本质上是一个脚本或一组脚本，可以快速修改系统，使入侵者处于控制之下，并且他被很好地隐藏起来。他通过安装常用系统实用程序的修改后的二进制文件并篡改日志文件来实现这一点。或者通过使用实现类似结果的特殊内核模块。因此，像 ls 这样的常用命令可能会被修改，以不显示他存储文件的位置。很聪明！

一个精心设计的 rootkit 可能非常有效。系统上的任何东西都不能真正信任以提供准确的反馈。什么都不能！但有时修改并不像预期的那样顺利，并给出一些不正常的提示。一些可能是警告信号的事情

• Login 行为怪异。也许没有人可以登录。或者只有 root 可以登录。任何 login 异常都应该引起怀疑。同样，添加或更改密码的任何异常情况。

  其他系统命令（例如 top 或 ps）的异常情况也应引起关注。

• 系统实用程序速度较慢、笨拙，或者显示奇怪和意外的结果。可能被修改的常用实用程序有：ls、find、who、w、last、netstat、login、ps、top。这不是一个确定的列表！

• 名为 “...” 或 “.. ” （点点空格）的文件或目录。在这种情况下肯定有问题。带有黑客风格名称的文件，如 “r00t-something”。

• 无法解释的带宽使用或连接。脚本小子喜欢 IRC，因此此类连接应引起警惕。

• 日志完全丢失，或丢失大 sections。或者 syslog 行为的突然变化。

• 神秘的开放端口或进程。

• 无法删除或移动的文件。一些 rootkit 使用 chattr 使文件 “immutable”，或不可更改。这种更改不会通过 ls 或 rpm -V 显示出来，因此文件乍一看是正常的。请参阅 chattr 和 lsattr 的手册页，了解如何撤消此操作。然后参阅下面的下一节，了解如何在情况不妙时恢复您的系统。

  这正变得越来越成为脚本小子的常见伎俩。事实上，在可疑系统上运行的一个快速测试（以 root 身份）

  /usr/bin/lsattr `echo $PATH | tr ':' ' '` | grep i--

  这将查找 root 的PATH中的任何 “immutable” 文件，这几乎肯定是出现问题的迹象，因为没有标准发行版以这种状态交付文件。如果上述命令返回任何内容，则计划完全恢复系统（见下文）。快速健全性检查

  # chattr +i /bin/ps # /usr/bin/lsattr `echo $PATH | tr ':' ' '` | grep "i--" ---i---------- /bin/ps # chattr -i /bin/ps

  这只是为了验证系统没有被篡改到 lsattr 完全不可靠的地步。第三行正是您应该看到的。

• “sniffer” 的迹象，例如接口进入 “promiscuous” 模式的日志消息。

• 对以下内容的修改/etc/inetd.conf, rc.local, rc.sysint或/etc/passwd。特别是任何添加。尝试使用 cat 或 tail 查看这些文件。添加最有可能被附加到末尾。但请记住，此类更改可能对任何系统工具都 “不可见”。

有时入侵者不够聪明，忘记了 root 的.bash_history，或清理日志条目，甚至在/tmp中留下奇怪的、遗留的文件。因此也应始终检查这些。只是不一定期望它们是准确的。通常，此类遗留文件或日志条目会具有明显的脚本小子风格的名称，例如 “r00t.sh”。

像 tcpdump 这样的数据包嗅探器 (http://www.tcpdump.org) 可能有助于查找任何不请自来的流量。解释嗅探器输出可能超出了普通新用户的掌握范围。snort (http://www.snort.org) 和 ethereal (http://www.ethereal.com) 也很好。Ethereal 有一个 GUI。

如前所述，受损的系统无疑会更改系统二进制文件，并且系统实用程序的输出是不可信的。系统上的任何东西都不能被依赖来告诉你全部真相。重新安装单个软件包可能没有帮助，因为可能是系统库或内核模块在做肮脏的工作。这里的重点是，没有办法绝对确定哪些组件已被更改。

我们可以使用rpm -Va |less来尝试验证所有软件包的完整性。但同样不能保证 rpm 本身没有被篡改，或者 RPM 依赖的系统组件没有被篡改。

如果您的系统上有 pstree，请尝试使用它来代替标准的 ps。有时脚本小子会忘记这个。但也不能保证这是准确的。

您还可以尝试查询/proc文件系统，其中包含内核了解的有关正在运行的进程的所有信息

# cat /proc/*/stat | awk '{print $1,$2}'

这将提供所有进程和 PID 号码的列表（假设恶意的内核模块没有隐藏这一点）。

另一种方法是访问 http://www.chkrootkit.org，下载他们的 rootkit 检查器，看看它说了什么。

有关取证问题的有趣讨论可以在 http://www.fish.com/security/ 找到。还有一个工具集合可用，恰如其分地称为 “The Coroner's Toolkit” (TCT)。

请阅读下文，了解从入侵中恢复的步骤。

6.3. 夺回受损系统

所以现在您已经确认了入侵，并且知道其他人拥有 root 访问权限，并且很可能有一个或多个隐藏的后门通往您的系统。您已经失去了控制。如何清理并重新获得控制权？

除了完全重新安装之外，没有万无一失的方法可以做到这一点。无法有把握地找到所有可能被修改的文件和后门。尝试修补受损的系统可能会冒着虚假安全感的风险，并且实际上可能会加剧已经很糟糕的情况。

要采取的步骤，按此顺序

• 拔掉插头并断开机器连接。您可能在不知不觉中参与犯罪活动，并将对您所做的事情施加于他人。

• 根据情况的需要和恢复系统可用的时间，尽可能多地了解攻击者是如何入侵的以及做了什么，以便堵住漏洞并避免再次发生，这是有利的。这可能非常耗时，并且并非总是可行的。并且可能需要比普通用户拥有的更多的专业知识。

• 备份重要数据。不要在备份中包含任何系统文件和系统配置文件，例如inetd.conf。将备份限制为仅限个人数据文件！您不希望备份，然后恢复可能打开后门或其他漏洞的东西。

• 从头开始重新安装，并在安装期间重新格式化驱动器 (mke2fs) 以确保没有残留物隐藏。实际上，更换驱动器并不是一个坏主意。特别是，如果您想保留受损数据以供进一步分析。

• 从备份恢复。全新安装后是安装 IDS（入侵检测系统）的最佳时机，例如 tripwire (http://www.tripewire.org)。

• 从 ftp://updates.redhat.com 应用所有更新。

• 重新检查您的系统是否有不必要的服务。重新检查您的防火墙和访问策略，并收紧所有漏洞。使用新密码，因为这些密码很可能已被盗。

• 重新连接系统 ;-)

此时，不建议使用任何可能在线提供的 rootkit 清理工具。它们可能在大多数情况下都能正常工作。但再说一次，如何绝对确定一切都安好，并且所有入侵痕迹都已消失？