您当前位置: 首页 » 六月 2015
按日期归档: 六月 2015

聊一聊chkrookit的误信和误用

很久不写文章了。BSRC在约稿以及个人最近吐槽模式的开启,索性就借着劲头写点东西缓解缓解。

chkrookit以及rkhunter基本上已经成为类unix系统的应急响应中的标配了。大多数处理安全事件基本上上机器的第一步都是来个两连发。但很多是以失望结束,或者出了结论又不知道如何是好。这篇文章或许能够解决你们的部分困惑。这篇文章主要是讲chkrootkit,rkhunter回头有空再吐槽。

首先对工具我们应该有一个明确的认识。工具是死的,人是活的,攻防本身就是人与人的对抗。挑战的对象是活生生的人而不是预定义好的程序时,机械的依靠某个工具,真正上战场了注定要悲剧。对于用于实际对抗中使用的工具,什么时间用,能够解决什么问题,对它的期望如何。我们心里应该很清楚,甚至我们有多大程度可以相信它的结论,欺骗或者bypass它的成本是什么样子也都需要了解。

言归正传,这篇文章我们先聊聊chkrootkit: http://www.chkrootkit.org。从README中我们了解到最近一次更新是:04/30/2014,而前一次更新是09年…看看CHANGELOG,大概也能够明白它都有哪些功能,代码目录的命名很好的反应出了这一点:

1

chkrootkit本身是一个shell脚本。运行 chkrootkit –l 可以看到所有的检测集。注意chkrootkit脚本这几个字的重点飘红。一般来说,这种开源脚本调用外部命令方式工作的安全检查程序,按照经验注定是悲剧的节奏(注意定语)。而且上机器后看都不看运行环境就执行这类检测程序极易被反补一刀[1][2] readmore