Chinaunix

标题: ★Linux入侵检测脚本 [打印本页]

作者: ayazero 时间: 2005-07-21 22:28
标题: ★Linux入侵检测脚本
原来的脚本存在严重问题，会删除系统文件，请立刻停止使用，停止散布并通知下载的其他人

原来的脚本把

rm -rf `eval echo $resultDir/*`

这一行去掉就可以

作者: kaichun 时间: 2005-07-21 22:52
标题: ★Linux入侵检测脚本
把这好东西都拿出来，我喜欢。多谢了

作者: yh6788 时间: 2005-07-21 23:01
标题: ★Linux入侵检测脚本
好东西，我一定要读懂他，然后写出一个能开玩笑的程序。：）

作者: SuperCube 时间: 2005-07-22 08:48
标题: ★Linux入侵检测脚本
谢谢斑竹！

楼上的兄弟也太有创意了吧。 : )

作者: yanghz 时间: 2005-07-22 09:02
标题: ★Linux入侵检测脚本
那位哥们给加个注释啊，实在是很难理清作者的思路啊

作者: archangle 时间: 2005-07-22 09:03
标题: ★Linux入侵检测脚本

root@gelu ~# ./t
mkdir: cannot create directory `/var/ayazero': File exists
Info: Detection Started...,Be sure to run this as root
Info: detecting os version info...
Info: detecting Current login and CPU load...
Info: detecting recent logins...
Info: detecting process info...
Info: detecting autostart programs and modules...
Info: detecting login backdoor...
Info: detecting network info...
Info: detecting cpu load...
Info: detecting Kernel modules list...
Info: detecting account info...
Info: detecting trusted relationship
Info: detecting autostart services...
./t: line 125: unexpected EOF while looking for matching `"'
./t: line 126: syntax error: unexpected end of file

复制代码

用台机器测试了一下,似乎有些地方需要改进

bash --version
GNU bash, version 2.05b.0(1)-release (i586-trustix-linux-gnu)
Copyright (C) 2002 Free Software Foundation, Inc.

复制代码

作者: archangle 时间: 2005-07-22 09:06
标题: ★Linux入侵检测脚本
原来后面那个错误是我少复制了一个'"'造成的.

作者: ayazero 时间: 2005-07-22 09:26
标题: ★Linux入侵检测脚本
[quote]原帖由 "yanghz"]那位哥们给加个注释啊，实在是很难理清作者的思路啊[/quote 发表：

注释在这里：
http://bbs.chinaunix.net/forum/viewtopic.php?t=335596

作者: ayazero 时间: 2005-07-22 09:34
标题: ★Linux入侵检测脚本
可惜没有测试机，不然Solaris、HP-UX、AIX、FreeBSD版的都可以写出来

比起module_hunter之类的，这个脚本的确一点技术含量都没有，只能算是简化了别人的工作

作者: yanghz 时间: 2005-07-22 10:23
标题: ★Linux入侵检测脚本
哈哈，好，谢谢ayazero

作者: 双眼皮的猪 时间: 2005-07-22 10:47
标题: ★Linux入侵检测脚本
^_^
如果是Linux Incident Response Script,那么在查看运行级别哪里还是不能用看/etc/inittab的initdefault来看,可能在启动后被切换过运行级别.所以还是用who -r或者runlevel比较合适...
刚想起,哈哈

作者: ayazero 时间: 2005-07-22 11:51
标题: ★Linux入侵检测脚本
实际上应该列出runlevel3和5下的启动项，这些都是可能被修改的

作者: soway 时间: 2005-07-22 11:59
提示: 作者被禁止或删除内容自动屏蔽

作者: ayazero 时间: 2005-07-22 12:17
标题: ★Linux入侵检测脚本

原帖由 "soway" 发表：
看来你这一年变化很大

我在这一年多基本没关心多少安全，更多是被各自应用不停的要求。

其实这一年也没达到自己的期望，偶尔看点技术只是为了工作需要，70%的精力花在别的地方了，刚开始每天下班能学4-5小时，后来工作越来越忙根本没有时间学习，出差更是把计划全部打乱，现在下班了只觉得累，根本无心学习，也是必须要换个环境了

BTW，下周末我回家了，有空可以来无锡逛逛，打我电话就行：13511063291

作者: bigbomb 时间: 2005-07-29 10:00
标题: ★Linux入侵检测脚本
老兄的文章中有大量的数字2出现,比如
last >;>; /var/ayazero/ir 2>;>;$errFile
crontab -l >;>; /var/ayazero/ir 2>;>;$errFile
ls -alRu >;>; /var/ayazero/access 2>;>;$errFil
.....
这个数字2有什么用途,实在是不太明白,还望ayazero老兄指点一二

作者: 双眼皮的猪 时间: 2005-07-29 10:09
标题: ★Linux入侵检测脚本
写C程序的应该会注意到stderr吧,标准错误,一般定向到显示器(终端).我这里是定向到文件.
0  标准输入
1  标准输出
2  标准错误

2就是把错误信息写到$errFile这个文件^_^所以脚本运行完,看看这个文件中途有没发生错误^_^

作者: bigbomb 时间: 2005-07-29 11:04
标题: ★Linux入侵检测脚本
您所指的错误是有人入侵后的错误,还是脚本执行后的错误?我也是刚学写脚本,若问的问题有些幼稚,还请您海涵.

作者: 双眼皮的猪 时间: 2005-07-29 12:22
标题: ★Linux入侵检测脚本
汗...
不要这么客气吧...
本脚本只会帮你把该分析的东西放在一起,至于分析这个步骤,还是要靠自己
脚本执行中有错误的话会写到$errFile,如果都帮你分析完,那工作量可就大多了.
所以在$errFile中看到的是脚本执行的问题.

作者: miFor 时间: 2005-08-06 23:37
标题: ★Linux入侵检测脚本
少判断了ssh的认证文件

作者: kai0200 时间: 2006-05-25 15:54
不好意思问一下这个教本从哪能下！

作者: lovegqin 时间: 2006-05-26 16:03
提示: 作者被禁止或删除内容自动屏蔽

作者: net_robber 时间: 2007-01-22 15:04

原帖由 lovegqin 于 2006-5-26 16:03 发表
抱着学习的态度来看看，不过没找到下载

同问，这个脚本在哪里啊？？？

作者: mayue0418 时间: 2010-02-05 18:22
好东西，可是那里下载？

作者: suiyangking 时间: 2010-04-12 14:14
脚本在哪里

作者: 我也在想 时间: 2010-04-14 11:01
提示: 作者被禁止或删除内容自动屏蔽

作者: zhxm0624 时间: 2010-04-15 09:30
好东西阿。。。

作者: shangrilawyx 时间: 2010-05-16 00:46
很好拜读下

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)