植入式攻擊入侵檢測解決方案
植入式攻擊入侵檢測解決方案
目錄
- 1. 什麼是植入式攻擊?
- 2. 為什麼駭客會在你的系統裡面植入木馬?
- 3. 什麼時候被掛馬?
- 4. 在那裡掛馬的?
- 5. 誰會在你的系統裡掛馬?
- 6. 怎樣監控植入式攻擊
- 6.1. 程式與資料分離
- 6.2. 監控檔案變化
- 6.3. 安裝日誌收集程式
- 7. 延伸閱讀
1. 什麼是植入式攻擊?
什麼是植入式攻擊,通俗的說就是掛馬,通過各種手段將木馬上傳到你的系統,修改原有程式,或者偽裝程式是你很難發現,常住系統等等。
2. 為什麼駭客會在你的系統裡面植入木馬?
通常掛馬攻擊駭客都是有目的的很少會破壞你的系統,而是利用你的系統。
例如,使用你的網路作DDOS攻擊,下載你的資料資料賣錢等等
3. 什麼時候被掛馬?
有時你到一家新公司,接手一堆爛攤子,俗稱“擦屁股”。這是中國是離職,中國式裁員,中國式工作交接.....的結果,各種奇葩等著你。
你接手第一項工作就是工作交接,最重要的工作可能就是檢查系統後門。通常工作交接少有積極配合的,全要靠你自己。
4. 在那裡掛馬的?
在我多年的工作中遇到過很多種形式掛馬,有基於Linux的rootkit,有PHP指令碼掛馬,Java掛馬,ASP掛馬。通常駭客會植入資料庫瀏覽工具,檔案目錄管理工具,壓縮解壓工具等等。
5. 誰會在你的系統裡掛馬?
98%是駭客入侵,1%是內人乾的,1%是開後門僅僅為了工作方便。
本文對現有的系統無能為力,只能監控新的入侵植入
6. 怎樣監控植入式攻擊
6.1. 程式與資料分離
程式包括指令碼,變異檔案等等,通常是隻讀許可權
資料是指由程式生成的檔案,例如日誌
將程式與資料分離,存放在不同目錄,設定不同許可權, 請關注“延伸閱讀”中的文章,裡面有詳細介紹,這裡略過。
我們這裡關注一旦執行的程式被撰改怎麼辦,包括入侵進入與合法進入。總之我們要能快速知道那些程式檔案被修改。前提是我們要將程式與資料分離,才能更好地監控程式目錄。
6.2. 監控檔案變化
我使用 Incron 監控檔案變化
# yum install -y incron # systemctl enable incrond # systemctl start incrond
安裝日誌推送程式
$ git clone https://github.com/netkiller/logging.git
$ cd logging
$ python3 setup.py sdist
$ python3 setup.py install
配置觸發事件
# incrontab -e
/etc IN_MODIFY /srv/bin/monitor.sh $@/$#
/www IN_MODIFY /srv/bin/monitor.sh $@/$#
# incrontab -l
/etc IN_MODIFY /srv/bin/monitor.sh $@/$#
/www IN_MODIFY /srv/bin/monitor.sh $@/$#
/srv/bin/monitor.sh 指令碼
# cat /srv/bin/monitor.sh
#!/bin/bash
echo $@ | /usr/local/bin/rlog -d -H 172.16.0.10 -p 1220 --stdin
/etc 與 /www 目錄中的任何檔案被修改都回執行/srv/bin/monitor.sh指令碼,/srv/bin/monitor.sh指令碼通過/usr/local/bin/rlog程式將檔案路徑資料發給遠端主機172.16.0.10。
6.3. 安裝日誌收集程式
$ git clone https://github.com/netkiller/logging.git
$ cd logging
$ python3 setup.py sdist
$ python3 setup.py install
配置收集端埠,編輯檔案logging/init.d/ucollection
done << EOF
1220 /backup/172.16.0.10/incron.log
1221 /backup/172.16.0.11/incron.log
1222 /backup/172.16.0.12/incron.log
EOF
然後根據incron.log給相關管理人員傳送郵件或簡訊警報等等,關於怎麼發郵件與簡訊不再本文談論範圍,有興趣留意我的官網。