检测受感染主机的替代 Linux 检测方法

检测受感染主机的替代 Linux 检测方法

这是对我之前帖子的重写,因为之前我试图实现的目标并不完全清楚。希望这会更有意义 :)

简而言之,我正在寻找替代方法来检测我的系统是否受到威胁,而不仅仅是使用 tripwire/OSSEC/samhain/rkhunter 等工具以及常规文件完整性检查和日志监控。我故意不把我的问题说得太具体,因为我追求的是一般的想法,这样我就可以在自己的机器上实现它们。这可能包括但不限于以设定的时间间隔运行的脚本(cronjob),如果发生任何变化,它会通知管理员,并提示管理员通过(syslog/email?)进行进一步调查。请注意,我不一定追求代码本身,只是对其功能的高级概述。请随意详细阐述。

如果我列出目前正在做的一些事情,以便让您大致了解我所追求的想法,这可能会有所帮助。

1) 生成正在运行的 iptables 的输出的 md5sum,并将其与已知的良好哈希值进行比较。如果该值发生变化,则可以安全地假设有人添加/删除了 iptables 条目。

2) 我有一些只读的挂载点(/usr、/boot 等),因为它们不应该经常更改。如果分区从只读变为可写,我希望收到通知。

3) 仅监控 netstat 的输出以侦听服务。与包含已知良好值的文件执行文件比较 (diff)。如果添加了某些内容,则可能是有人向系统添加了新服务。可能存在后门?

请注意,如果我正在进行系统维护,上述情况将产生误报。但是,如果我不在的时候这些情况发生变化,我会认为它们很可疑并进一步调查。请注意,这些只是示例,确实存在缺陷,但障碍越多,被人绊倒的可能性就越大。

提前致谢。

答案1

我建议查看内存取证工具,例如法医维基。例如,您可以使用再看Linux 内存取证产品。文件完整性检查器非常适合验证系统的非易失性状态;内存取证可让您验证易失性状态,以确保在给定时间点在系统上运行的所有代码都是合法且未经修改的。

答案2

也许我误解了你的问题。听起来你只需要有关 unix 主机 IDS/IPS 的信息,例如萨温节呼噜, 或者操作系统安全评估中心。 有维基百科也在上面。或者您正在寻找其他东西?

答案3

我运行了 integrit(二进制完整性检查)、Tiger(系统 IDS/审计器)、logcheck 和非常严格的 IPtables 规则(拒绝一切可以拒绝的内容,包括 OUTPUT)。Debian 中的所有默认设置都运行良好,可以定期执行任务并通过电子邮件将输出发送给 root。

我还推荐安全 Debian 手册以便更好地了解您可以做什么和应该做什么。

答案4

OSSEC 可以利用其系统审计功能为您做到这一点。您试过了吗?看看无代理的输出命令监控……

相关内容