植入式攻擊入侵檢測解決方案

目錄

• 1. 什麼是植入式攻擊？
• 2. 為什麼駭客會在你的系統裡面植入木馬？
• 3. 什麼時候被掛馬？
• 4. 在那裡掛馬的？
• 5. 誰會在你的系統裡掛馬？
• 6. 怎樣監控植入式攻擊
  • 6.1. 程式與資料分離
  • 6.2. 監控檔案變化
  • 6.3. 安裝日誌收集程式
• 7. 延伸閱讀

1. 什麼是植入式攻擊？

什麼是植入式攻擊，通俗的說就是掛馬，通過各種手段將木馬上傳到你的系統，修改原有程式，或者偽裝程式是你很難發現，常住系統等等。

2. 為什麼駭客會在你的系統裡面植入木馬？

通常掛馬攻擊駭客都是有目的的很少會破壞你的系統，而是利用你的系統。

例如，使用你的網路作DDOS攻擊，下載你的資料資料賣錢等等

3. 什麼時候被掛馬？

有時你到一家新公司，接手一堆爛攤子，俗稱“擦屁股”。這是中國是離職，中國式裁員，中國式工作交接.....的結果，各種奇葩等著你。

你接手第一項工作就是工作交接，最重要的工作可能就是檢查系統後門。通常工作交接少有積極配合的，全要靠你自己。

4. 在那裡掛馬的？

在我多年的工作中遇到過很多種形式掛馬，有基於Linux的rootkit，有PHP指令碼掛馬，Java掛馬，ASP掛馬。通常駭客會植入資料庫瀏覽工具，檔案目錄管理工具，壓縮解壓工具等等。

5. 誰會在你的系統裡掛馬？

98%是駭客入侵，1%是內人乾的，1%是開後門僅僅為了工作方便。

本文對現有的系統無能為力，只能監控新的入侵植入

6. 怎樣監控植入式攻擊

6.1. 程式與資料分離

程式包括指令碼，變異檔案等等，通常是隻讀許可權

資料是指由程式生成的檔案，例如日誌

將程式與資料分離，存放在不同目錄，設定不同許可權, 請關注“延伸閱讀”中的文章，裡面有詳細介紹，這裡略過。

我們這裡關注一旦執行的程式被撰改怎麼辦，包括入侵進入與合法進入。總之我們要能快速知道那些程式檔案被修改。前提是我們要將程式與資料分離，才能更好地監控程式目錄。

6.2. 監控檔案變化

我使用 Incron 監控檔案變化

# yum install -y incron
# systemctl enable incrond
# systemctl start incrond			
 

安裝日誌推送程式

$ git clone https://github.com/netkiller/logging.git
$ cd logging
$ python3 setup.py sdist
$ python3 setup.py install			

配置觸發事件

# incrontab -e
/etc IN_MODIFY /srv/bin/monitor.sh $@/$#
/www IN_MODIFY /srv/bin/monitor.sh $@/$#

# incrontab -l
/etc IN_MODIFY /srv/bin/monitor.sh $@/$#
/www IN_MODIFY /srv/bin/monitor.sh $@/$#			

/srv/bin/monitor.sh 指令碼

# cat /srv/bin/monitor.sh
#!/bin/bash
echo $@ | /usr/local/bin/rlog -d -H 172.16.0.10 -p 1220 --stdin						

/etc 與 /www 目錄中的任何檔案被修改都回執行/srv/bin/monitor.sh指令碼，/srv/bin/monitor.sh指令碼通過/usr/local/bin/rlog程式將檔案路徑資料發給遠端主機172.16.0.10。

6.3. 安裝日誌收集程式

$ git clone https://github.com/netkiller/logging.git
$ cd logging
$ python3 setup.py sdist
$ python3 setup.py install				

配置收集端埠，編輯檔案logging/init.d/ucollection

			done << EOF
1220 /backup/172.16.0.10/incron.log
1221 /backup/172.16.0.11/incron.log
1222 /backup/172.16.0.12/incron.log
EOF			

然後根據incron.log給相關管理人員傳送郵件或簡訊警報等等，關於怎麼發郵件與簡訊不再本文談論範圍，有興趣留意我的官網。