02UNIX／Linux应急响应检查清单.doc

■密级■日期UNIX/Linux应急响应检查清单■文档编号 ■版本编号目录%1. 系统后门程序 11.1 CHKROOTKIT-0.49-MlNI.SH 11.2CHKR00TKIT 11.3 Rootkit Hunter 2%1. 用户及用户文件 22.1PASSWD 文件 22.1.1文件权限 22.1.2用户检查 22.1 SHADOW 文件 32.3UID 信息 33.1 Shell Fl 志 3%1. 系统日志分析 3%1. MESSAGES 日志 3%1. CRON 日志 3%1. SECURE 日志 4%1. LAST 日志 4%1. 网络连接 44.1当前登录用户 44.2端曰开放情况 5%1. 进程与服务 55.1进程信息 55.2服务信息 5%1. 文件系统 56.1SUID 56.2文件完整行检查 5%1. 信息收集与提交 6%1. 系统后门程序%1. chkrootkit-0.49-Mini.sh顾名思义,chkrootkit-0.49-Mini.sh 是 chkrootkit 的 Mini 版其内容全部来自 chkrootkit, 但仅限于脚木实现部分，可用于没有安装make或make sense无法通过的主机。

chkrootkit-0.49-Mini.sh为sh脚本,在大部分系统上可顺利运行，其检测主要以rootkit 等恶意程序常用的文件名、目录为检查对象，因此，虽方便运行，但并不能完全替代chkrootkit 和 rootkit Huntero使用方法:chkrootkit-0.49-Mini.sh或：chmod +x chkrootkit-0.49-Mini.sh./chkrootkit-0.49-Mini.sh%1. chkrootkitchkrootkit是一款用于UNIX/Linux的本地rootkit检查工具chkrootkit 官方立占点：httD：//www.chkrootkit.org/一般操作指南：%1. 下载 chkrootkit： wget -c ftp://.br/pub/seg/pac/chkrootkit.tar.gz%1. 编译：%1. tar xvzf chkrootkit.tar.gz%1. cd chkrootkit-xx%1. make sense•检测 rootkit： ./chkrootkit-q%1. 若使用Live CD启动主机，将原主机硬盘（被入侵）挂接在/mnt下，我们可以使用-r参数指定被入侵主机的根目录，进行离线检杏,chkrootkit最终仅输出可疑的项目：./chkrootkit -q -r /mnt%1. Rootkit HunterRootkit Hunter结果比chkrootkit更为洋细和精准，若有条件，建议使用Rootkit Hunter 对系统进行二次夏查。

Rootkit Hunter 官方站点：httu:〃www.rootkit.nl/Drojects/rootkit hunter.htmIRootkit Hunter 卜载访问：httD：//一般操作指南：%1. 安装 Rootkit Hunter：%1. tar xvzf rkhunter-xx.tar.gz%1. cd rkhunter-xx%1. ./install.sh --layout default -install（若l定义安装路径，需执行：./install -layout custom /customjpath -install）%1. 使用Rootkit Hunter： rkhunter-check （若自定义安装目录，需写全路径）%1. 用户及用户文件%1. passwd 文件2.1.1文件权限/etc/passwd默认权限为644,其最小权限为444,首先应对该文件权限进行检杳，以确 认配置是否正确：Is - I /etc/passwd2.1.2用户检查查看 passwd 文件内容：cat /etc/passwd查看是否存在可疑帐号1. shadow 文件shadow默认权限为600,最小权限为400,检查权限配置是否正确：Is 一 I /etc/shadow%1. UID信息passwd文件中，每行用户信息以冒号间隔，其中第三段为用户UID,检查除root用户外 是否存在其他用户的UID为0,也可执行命令：awk -F : $3==0{print}* /etc/passwd（若UID=0,则打印本行信息）%1. Shell 日志Bash 口志存储于用户目录的.bash_history文件中，存储条目数量与shell变量 $HISTSIZE 有关。

1. 系统日志分析3.1 messages 日志Solaris 的 messages 11志位置为 /var/adm/messagesRedHat 的 messages LI 志位置为 /var/log/messagesmessages +记录有运行信息和认证信息，对于追杏恶意用户的登录行为有很大帮助，例 如，下面即为一条su I I志：Mar 22 11:11:34 abc PAM_pwdb[999]authentication failure;cross(uid=500)->root for su service%1. cron 日志Solaris的cron日志默认记录在/var/cron/log中RedHat的cron廿志默认记录在/var/log/cron中%1. secure 日志Linux的ssh登录11志会存储于/var/log/secure中，若11志中出现连续大量的登录错误信 息，则可能意味着远程主机在尝试破解ssh登录口令1. last 日志last命令用于查看最近的用户登录情况，last命令读取wtmp内容在Linux还中还存在lastlog命令，用于查看系统内所有帐户最后一次登录信息，该命令 读取/var/log/lastlog 内容。

网络连接4.1当前登录用户执行W命令可以确定当前哪些用户已登录系统输出信息中个列含义：%1. USER字段显示当前登录系统的用户名%1. TTY字段显示分配给用户会话的终端ttyX表示在控制台登录，pts/X和ttypX表示 网络连接%1. FROM字段显示远程登录主机的IP地址%1. LOGIN@字段显示登录用户的本地起始时间%1. IDLE字段显示最近一个进程运行开始算起的时间长度%1. JCPU字段显示在该控制台或网络连接的全部进程所用的时间%1. PCPU字段显示WHAT栏中当前进程所使用的处理器时间%1. WHAT字段显示用户正在运行的进程4.2端口开放情况使用netstat -anp (Solaris使用netstat -an)命令查看当前开放的端口使用lsof-i (仅限Linux)显示进程和端口对应关系五.进程与服务5.1进程信息Linux系统中使用命令ps -aux查看进程Solaris系统中使用命令ps -eaf杳看进程5.2服务信息Linux系统下可以使用chkconfig -list查看服务启动信息，各服务的启动脚本存放在 /etc/init.d/和/etc/xinetd.d 目录下。

Solaris系统下，服务町以通过svcadm或inetadm命令进行管理六.文件系统6.1 SUID使用命令find / -perm -004000 -type f输出所有设置了 SUID的文件6.2文件完整行检查在RedHat Linux等以rpm作为包管理工具的系统中，使用rpm命令可搜索自rpm包安 装后发生了变化的程序：rpm -Va列举全部软件包的变化情况rpm -V package列举某个程序包的变化情况七■信息收集与提交为快速收集信息，提供连个用于收集信息的perl脚本：%1. IRIC_RHL.PL,运行于RedHat Linux的信息收集脚本%1. IRIC_SOL.PL,运行于Solaris的信息收集脚木脚木收集以下信息：%1. passwd文件权限和内容%1. 所有用户的UID值%1. 用户（登录）信息%1. 进程列表%1. 网络连接信息%1. 服务列表%1. 所有的.bash_history内容%1. 摘自rootkit hunter的rootkit关键文件及目录检测（与chkrootkit类似）%1. Last命令输出信息脚本使用方法：Perl IRIC_RHL.PL或：chmod +x IRIC_RHL.PL./IRIC_RHL.PL脚本仓U建bl录NSFOCUS_ER_REPORT并在目录中产生，以NSFOCUS_RH_CHKER_为前缀（或 NSFOCUS_SOL_CHKER_）的 LOG 文件。

以上信息外，还需现场工程师协助收集以下口志文件到NSFOCUS_ER_REPORT/logs 目录下：%1. messages （Linux : /var/log/messages , Solaris : /var/adm/messages）%1. secure （Linux :/var/log/secure , Solaris 无此文件）收集前应该使用du -sh /var/log/messages命令判断U志是否过大，若过大则根据现 场情况只取特定时间段的日志或最后产生的日志。