模板
教程
环境
性能
功能
管理
★Linux入侵检测脚本
原来的脚本存在严重问题,会删除系统文件,请立刻停止使用,停止散布并通知下载的其他人 原来的脚本把 [quote:60ec66b7d1]rm-rf`evalecho$resultDir/*`[/quote:60ec66b7d1] 这一行去掉就可以 kaichun 回复于:2005-07-21 22:52:18 把这好东西都拿出来,我喜
原来的脚本存在严重问题,会删除系统文件,请立刻停止使用,停止散布并通知下载的其他人
原来的脚本把
[quote:60ec66b7d1]rm -rf `eval echo $resultDir/*`[/quote:60ec66b7d1]
这一行去掉就可以
| kaichun 回复于:2005-07-21 22:52:18 |
| 把这好东西都拿出来,我喜欢。多谢了 |
| yh6788 回复于:2005-07-21 23:01:10 |
| 好东西,我一定要读懂他,然后写出一个能开玩笑的程序。:) |
| SuperCube 回复于:2005-07-22 08:48:56 |
| 谢谢斑竹!
楼上的兄弟也太有创意了吧。 : ) |
| yanghz 回复于:2005-07-22 09:02:41 |
| 那位哥们给加个注释啊,实在是很难理清作者的思路啊 |
| archangle 回复于:2005-07-22 09:03:11 |
| [code:1:0e84846131]
root@gelu ~# ./t mkdir: cannot create directory `/var/ayazero': File exists Info: Detection Started...,Be sure to run this as root Info: detecting os version info... Info: detecting Current login and CPU load... Info: detecting recent logins... Info: detecting process info... Info: detecting autostart programs and modules... Info: detecting login backdoor... Info: detecting network info... Info: detecting cpu load... Info: detecting Kernel modules list... Info: detecting aclearcase/" target="_blank" >ccount info... Info: detecting trusted relationship Info: detecting autostart services... ./t: line 125: unexpected EOF while looking for matching `"' ./t: line 126: syntax error: unexpected end of file [/code:1:0e84846131] 用台机器测试了一下,似乎有些地方需要改进 [code:1:0e84846131]bash --version GNU bash, version 2.05b.0(1)-release (i586-trustix-linux-gnu) Copyright (C) 2002 Free Software Foundation, Inc. [/code:1:0e84846131] |
| archangle 回复于:2005-07-22 09:06:01 |
| 原来后面那个错误是我少复制了一个'"'造成的. |
| ayazero 回复于:2005-07-22 09:26:48 |
| [quote:2efd8a4205="yanghz"]那位哥们给加个注释啊,实在是很难理清作者的思路啊[/quote:2efd8a4205]
注释在这里: http://bbs.chinaunix.net/forum/viewtopic.php?t=335596 |
| ayazero 回复于:2005-07-22 09:34:22 |
| 可惜没有测试机,不然Solaris、HP-UX、AIX、FreeBSD版的都可以写出来
比起module_hunter之类的,这个脚本的确一点技术含量都没有,只能算是简化了别人的工作 |
| yanghz 回复于:2005-07-22 10:23:36 |
| 哈哈,好,谢谢ayazero |
| 双眼皮的猪 回复于:2005-07-22 10:47:15 |
| ^_^
如果是Linux Incident Response Script,那么在查看运行级别哪里还是不能用看/etc/inittab的initdefault来看,可能在启动后被切换过运行级别.所以还是用who -r或者runlevel比较合适... 刚想起,哈哈 |
| ayazero 回复于:2005-07-22 11:51:26 |
| 实际上应该列出runlevel3和5下的启动项,这些都是可能被修改的 |
| soway 回复于:2005-07-22 11:59:12 |
| 看来你这一年变化很大
我在这一年多基本没关心多少安全,更多是被各自应用不停的要求。 |
| ayazero 回复于:2005-07-22 12:17:20 |
| [quote:98e5b634f9="soway"]看来你这一年变化很大
我在这一年多基本没关心多少安全,更多是被各自应用不停的要求。[/quote:98e5b634f9] 其实这一年也没达到自己的期望,偶尔看点技术只是为了工作需要,70%的精力花在别的地方了,刚开始每天下班能学4-5小时,后来工作越来越忙根本没有时间学习,出差更是把计划全部打乱,现在下班了只觉得累,根本无心学习,也是必须要换个环境了 BTW,下周末我回家了,有空可以来无锡逛逛,打我电话就行:13511063291 |
| bigbomb 回复于:2005-07-29 10:00:06 |
| 老兄的文章中有大量的数字2出现,比如
last >> /var/ayazero/ir 2>>$errFile crontab -l >> /var/ayazero/ir 2>>$errFile ls -alRu >> /var/ayazero/access 2>>$errFil ..... 这个数字2有什么用途,实在是不太明白,还望ayazero老兄指点一二 |
| 双眼皮的猪 回复于:2005-07-29 10:09:25 |
| 写C程序的应该会注意到stderr吧,标准错误,一般定向到显示器(终端).我这里是定向到文件.
0 标准输入 1 标准输出 2 标准错误 2就是把错误信息写到$errFile这个文件^_^所以脚本运行完,看看这个文件中途有没发生错误^_^ |
| bigbomb 回复于:2005-07-29 11:04:09 |
| 您所指的错误是有人入侵后的错误,还是脚本执行后的错误?我也是刚学写脚本,若问的问题有些幼稚,还请您海涵. |
| 双眼皮的猪 回复于:2005-07-29 12:22:58 |
| 汗...
不要这么客气吧... 本脚本只会帮你把该分析的东西放在一起,至于分析这个步骤,还是要靠自己 脚本执行中有错误的话会写到$errFile,如果都帮你分析完,那工作量可就大多了. 所以在$errFile中看到的是脚本执行的问题. |
| miFor 回复于:2005-08-06 23:37:50 |
| 少判断了ssh的认证文件 |
