0x0引言~
在應急響應中,往往會涉及到大量linux服務器羣感染病毒的場景,這時僅依靠人工排查後門和病毒,效率和質量是非常低的;當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,急需第一時間進行處理,使企業的網絡信息系統在短時間內恢復正常工作,以爲企業挽回或減少經濟損失,而學會利用自動化查殺工具,將會大大提高我們在linux下應急的效率和質量;本篇主要概述兩款基於linux下的自動化病毒查殺的工具(河馬、chkrootkit)的使用方法。
文章目錄
河馬 webshell掃描器
1.下載傳送門
64位版本:wget -O /opt/hm-linux.tgz http://dl.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.7.0
32位版本:wget -O /opt/hm-linux.tgz http://dl.shellpub.com/hm/latest/hm-linux-386.tgz?version=1.7.0
以上路徑會隨着版本更新而變化,可在官網下載中心獲取最新版本
傳送門
2.安裝過程
下載前先用arch命令查看服務器是32位的還是64位,隨後工具操作系統版本進行相對應的下載
root@1:/opt# arch
x86_64
如提示以下信息,則證明服務器沒安裝wget,需要用yum或apt-get安裝,如下:
解壓前有兩點需要注意,否則會出現大量報錯:
1.不要將本軟件放置到web目錄下
2.不要在web目錄下運行軟件
下載完成的文件需要解壓,如下:
tar zxvf hm-linux.tgz
解壓完後即可使用,可在命令行輸入./hm -h獲取查看幫助
root@1:/tmp# ./hm -h
Usage: hm <flags> <subcommand> <subcommand args>
Subcommands:
help describe subcommands and their syntax
scan 在指定的目錄掃描WEBSHELL
update 升級程序
upload upload malice specimen
version 顯示程序和特徵庫版本
出現以上信息即證明工具可用
3.實戰演示
上傳5個文件作掃描演示,其中除了釣魚.png文件外,其它文件均爲webshell文件,隨後將進行掃描識別
掃描速度挺快的,針對webshell的查殺還是挺準確的,效果如下:
當工具檢測出後門文件,我們就可以人工的去判斷是否爲誤報,最後手動清除木馬了
chkrootkit
1.rootkit介紹
Rootkit是一個特殊的惡意軟件,它可隱藏自身以及指定的文件、進程、網絡、鏈接、端口等信息。Rootkit可通過加載特殊的驅動修改系統內核,進而達到隱藏信息的目的。Rootkit的三要素就是:隱藏、操縱、收集數據。不同的操作系統會有不同的Rootkit,Linux系統中的Rootkit就被稱爲LinuxRootkit。
Rootkit具有隱身功能,無論靜止時作爲文件存在,還是活動時作爲進程存在,都不會被察覺,它可能永遠存在於計算機中。
可參考百度百科
2.下載傳送門
可用wget進行下載,如果服務器斷網,可下載至本機,隨後使用rz命令進行上傳
3.安裝過程
下載完成後,需解壓,如下:
tar -zxvf chkrootkit.tar.gz
Chkrootkit需要進行編譯,安裝前系統要安裝gcc,否則編譯時會報以下錯誤:
root@1:/tmp/chkrootkit-0.53# ./chkrootkit
chkrootkit: can't find `strings'.
root@1:/tmp/chkrootkit-0.53# make sense
cc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
make: cc: Command not found
Makefile:43: recipe for target 'chklastlog' failed
make: *** [chklastlog] Error 127
ubuntu 安裝gcc命令:apt-get install gcc
centos 安裝gcc命令:yum -y install gcc
解壓縮後進入chkrootkit目錄使用make sense命令進行編譯
編譯完成後,直接運行./chkrootkit可執行文件即可,它會對系統進行全面的rootkit檢測,也可用./chkrootkit -h查看幫助說明
4.使用教程
chkrootkit默認對整個系統進行rootkit查殺,我們可以使用命令:./chkrootkit | grep INFECTED去搜索關鍵字:INFECTED (被感染),方便查看
root@acitsec:/tmp/chkrootkit-0.53# ./chkrootkit | grep INFECTED
Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed
我的ubuntu是新裝的測試系統,這裏的警報爲誤報,我們來查看警報說明,發現是xorddos問題,當/tmp目錄下近期有可執行文件執行過後,chkrootkit就會報這個問題。如下:
爲直觀的瞭解該誤報,我在虛擬機做了個測試,在開始測試前,我先建了個虛擬機快照,方便事後恢復~
先把/tmp目錄下的文件清空,隨後執行./chkrootkit | grep INFECTED,可以看到執行結果雖然存在 installed 但並未發現:Searching for Linux.Xor.DDoS … INFECTED: Possible Malicious Linux.Xor.DDoS installed,如下:
隨後在/tmp下新建一個文件,並且執行它,這時使用chkrootkit進行安全檢查就會產生警報,如下:
注:我們在檢測時只能把工具結果作爲參考,不能完全相信,在利用上面兩款自動化工具分析的同時,我們也可以結合人工或其它工具進行合理分析,從而完成一次高效率+質量的應急響應
小結~
做應急響應也有一段時間了,每次對linux系統進行後門及Rootkit的查殺都異常麻煩,因爲絕大多數應急都是自己一個人在搞,依靠人工排查,一是工作量大,一個人排查起來是非常勞累且乏味的、二是需要一定程度的技術知識和業務知識才能判斷什麼是正常什麼是異常;爲了更有效率的完成應急響應,這時我們可以靈活的使用各種自動化工具完成後門的查殺,相對於人工去排查,工具檢測必然會存在漏報誤報,但學會利用自動化查殺工具,將會大大提高我們在linux下應急響應的效率。