运维服务器比较头疼的一个问题是系统被黑, 沦为肉鸡或者矿机. 除了加强安全基线配置, 加强网络和端口加固, 系统和应用 bug 修复, 上 IDS/IPS(入侵检测 / 防御系统)之外, 另一个方面就是系统监控, 一个完善准确的安全监控可以在主机层面及时发现入侵活动, 予以告警以备及时处理. 本文虫虫就给大家来说说系统文件变化的监控.
概述
在 * nix 体系一切皆文件, 系统文件的变化往往反应着系统的变化, 比如系统应用的更新, 系统的操作活动 (可以用安全审计来确定) 或系统被黑. 根据虫虫多年来维护经验系统被黑最明显之一的特征就是系统文件变化, 包括不限于:
- /bin (替换基本工具为恶意木马等, 比如 netstat,ps 等)
- /sbin (替换基本工具为恶意木马等, 比如 sshd,lsof,ss 等)
- /usr/bin(替换基本工具为恶意木马等, 比如 sshd,lsof,ss 等)
- /usr/sbin (替换基本工具为恶意木马等, 比如 sshd,lsof,ss 等)
- /etc/init.d (修改开机启动任务, 添加恶意脚本开机启动)
- /etc/
- /etc/cront.d (修改计划任务, 添加恶意脚本定时执行)
- /etc/crontab (修改计划任务, 添加恶意脚本定时执行)
~/.SSH / 目录 (注入公钥)
/etc/sysconfig (修改 iptables 配置等, 开放网络限制) /etc/SSH/ (修改 SSH 配置)
web 目录 (修改网站)
等目录下文件被替换或者添加非法文件.
加强对这些目录和文件的监控, 就可以在一定程度上防止系统被黑, 以及系统被黑, 而无法发现的问题.
find -mtime 目录文件变化
监控系统变化的最简单, 最常用的方法是使用 find 命令, 其 - mtime 表示最近有过变动的文件.
比如要查看一天内 / usr/bin 目录下变化过的文件可以使用
find /usr/bin -m -1
要看详细这些文件详细信息, 可以用 xargs 或者 - exec 把这些变化文件在用 ls -al 显示出来, 比如:
find /var -type f -mtime -1 -exec ls -al {} \;
RPM 监控系统文件的变化
RPM 是 Linux 一种应用包, 利用 RPM 安装应用大家可能都熟悉. 实际上 RPM 还是一个系统包数据库, 并提供包验证功能, 可以用来发现原始安装包变化情况. RPM 应用包文件验证的基本命令是 rpm -V. 比如查询验证 nginx 包可以用 rpm -V nginx:
该命令结果的前几位属性验证,. 表示属性正常, 其他标志表示属性有变化, 如果文件被删除, 则会提示 "missing ...". 具体属性的含义如下:
结果表示: nginx 包中 default.conf 文件的大小, md5 哈希值, 文件修改时间都改变了.
注意: 上图中中间位还有个字母 c 标志, 该标表示文件的属性, c 表示文件为配置文件. 其他标志有: d %doc 说明文档; g %ghost 不应包含的文档, 有可能有问题; l %license 授权文件; r %readme readme 说明文件.
-V 选项增加 - a 就可以列出当前系统中安装后, 所有变化过的包文件, 可以以此来检查文件包的完整性, 安全性等. 我们对结果使用 grep 进一步检查就得到具体的文件, 比如要获取 bin 目录系统文件变化过的文件:
Inotify 监控文件变化
另一个比较常用的方法是用 Inotify 来监控文件变化. Inotify 是 Linux 内核自带 (2.6.13) 的系统事件监控机制. Inotify 优点之一是基于内核事件通知机制, 无需定时主动探测文件状态, 简单可靠. 另一个好处是有文件变化时通知时候, 可以记录当时的用户和事件进程. 基于 Inotify 的工具有 inotify-tools,sersync 和 lsyncd 等, 我们此处简单介绍 inotify-tools 使用.
(1) inotify-tools 安装
安装比较简单, 以 CentOS 为例, 先添加 epel 源, 然后
yum install inotify-tools
(2) inotify-tools 使用
inotify-tools 安装后会附带两个工具即 inotifywait 和 inotifywatch.inotifywait 工具用来添加文件或目录监控, 支持对文件的一些操作事件, 比如 open,close,delete 等, 运行后系统处于阻塞状态. inotifywait 的参数和对应事件列表如下图所示:
做为安全方面考虑, 重点关注文件文件变化和创建时间, 即 modify 和 create 事件.
inotifywatch 工具用来查看所监视的文件发生事件的数据统计.
下面举一个实例来说明, 我们用 inotifywait 来监控 / var 目录下文件的变化:
inotifywait -mre modify /var
为了便于阅读, 我们添加一些日志和时间格式参数:
inotifywait -mrq --timefmt '%d%m%y %H:%M' --format '%T %w%f' -e modify -e create /var
要统计系统内 30 秒内的变化数据, 可以用 inotifywatch:
inotifywatch -v -t 30 -r /proc
inotifywatch 的使用此处不在详细介绍.
自建编写脚本进行文件 Md5 监控
还有一个方法就是对特定目录 (比如 Web 目录) 开始时候对其计算 md5 哈希, 以后定时计算 md5 然后比对, 发现 md5 哈希不一致了, 说明文件已经被篡改了. 对此, 虫虫之前基于这个原理用 Perl 写了一个脚本 MD5Check(GitHub:/bollwarm/MD5Check), 可以直接用来使用或者做参考.
MD5Check 安装很简单, 有 Perl 的环境下 (依赖 Digest::MD5) 直接下直接 clone 文件就可以使用, 或者使用 cpanm 安装
cpanm MD5Check
使用:
使用方法, 执行 perl bin/init.pl Web 目录(自定义), 初始化 MD5 值.
然后使用 perl bin/check.pl 前一部保存的 md5 哈希的文件检查.
详细实例, 见 bin 目录下的 init.pl 和 check.pl
cpanm 安装后, 可以直接用 perl 单行程序检查使用
初始化:
perl -MMD5Check -e 'init("/web")' >file
检查:
perl -MMD5Check -e 'print md5check(file)'
实例: 我们举一个 wordexpree 网站为例子:
perl init.pl /Web >webmd5.20161027
检查:
perl check.pl webmd5.20161027
总结
本文我们讲述了通过监控 Linux 文件变化方式防止系统被黑. 讲述了常见的几种监控 Linux 系统下文件监控的方法: find,rpm,Inodify 以及自编写脚本的方法. 当然这些方法需要配合监控系统 (比如 zabbix) 才能实现及时全面的系统, 可以将其做为系统安全监控部分 (其他部分包括进程监控, 防火墙变化监控, 流量变化) 来配置和告警. 关于这些部分, 以后有机会再给大家介绍.
来源: http://netsecurity.51cto.com/art/201912/608730.htm