2011年12月

在生产环境中,系统被入侵后,黑客会放置自己的后门。LKM后门和传统的后门不一样,它可以通过隐藏进程、端口、文件的方式隐藏自己,不被管理员轻易发现,也就是常说的rootkit技术。
LKM是什么?load kernel module,可加载内核模块的缩写。
xlkm一个脚本,通过对准上线机器现加载内核模块进行备份,来判别模块是否替换、篡改。
主要思路就是:列出系统加载的内核模块并备份,对现加载的模块的md5校验并备份其信息,然后进行对比。

实现起来比较简单,我shell也不是很好,大家就凑活着看吧。

 

#!/bin/bash

 

#code:key1088

#mail:key1088@163.com

#bash --version

#GNU bash, version 3.2.25(1)-release (i686-redhat-linux-gnu)

#Copyright (C) 2005 Free Software Foundation, Inc

 

if [ $(whoami) != "root" ];

then

echo "Not root"

exit 0

fi

 

xlkmroot=/usr/local/xlkm

 

help(){

echo -e " 33[32m List:"

echo "[1.Start LKM List Backup]"

echo "[2.Test LKM List Change]"

echo "[3.Delete All Backup]"

echo "[4.Quit]"

echo -e " 33[0m"

}

 

SETUPXLKM(){

if test -d $xlkmroot ;then

echo "LKM exist Backup!!"

exit 1

fi

mkdir $xlkmroot

chmod 700 $xlkmroot

}

 

DELXLKM(){

rm -rf $xlkmroot

echo

echo -e " 33[34mDelete XLKM Backup Sccessfully 33[0m"

echo

}

 

START(){

while [ -z $passwd ]

do

echo

echo -n "Input encrypt passwd[No Null]:"

read passwd

done

echo "WAITing....."

lsmod > $xlkmroot/lkmlist.main

for i in $(modprobe -l)

do

md5sum $i >> $xlkmroot/lkmfile.md5.main

done

cd $xlkmroot

zip -P $passwd mainfile.zip ./*.main > /dev/null

rc=$?

if [ "$rc" == 0 ];

then

echo

echo -e " 33[34mLKM List Backup Successfully! 33[0m"

echo 

else

echo

echo -e " 33[34mBeijule! Error! 33[0m"

echo 

fi

rm -f $xlkmroot/lkm* > /dev/null

}

 

LKMCHANGE(){

echo "Test LKM Change"

 

cd $xlkmroot

while [ "$ra" != 0 ]

do

echo

echo -n "Input encrypt passwd[No Null]:"

read passwd

unzip -P $passwd mainfile.zip > /dev/null 2>&1

ra=$?

if [ "$ra" != 0 ];then echo "Invalid password!! "; fi

done

echo "WAITing....."

lsmod > $xlkmroot/lkmlist.new

for i in $(modprobe -l)

do

md5sum $i >> $xlkmroot/lkmfile.md5.new

done

echo "LKM List Change:"

echo -e " 33[31m"

diff $xlkmroot/lkmlist.main $xlkmroot/lkmlist.new

echo -e " 33[0m"

echo "LKM File Md5 Change:"

echo -e " 33[31m"

diff $xlkmroot/lkmfile.md5.main $xlkmroot/lkmfile.md5.new

echo -e " 33[0m"

rm -f *.new *.main

 

}

 

while :

do

 

help

echo -n "Input List num:"

read x

 

case "$x" in

1)

SETUPXLKM

START

;;

2)

LKMCHANGE

;;

3)

DELXLKM

;;

4)

exit 0

;;

*)

echo -e " 33[31mError !!!!!"

echo -e "Pleae input [1-4] list option 33[0m"

;;

esac

 

done

 

systime函数返回从1970年1月1日开始到当前时间(不计闰年)的整秒数

利用strftime()函数格式化时间

  • 实例:

                 $ awk '{ now = systime(); print now }'
  • strftime函数使用C库中的strftime函数格式化时间。格式如下:

                 systime( [format specification][,timestamp] )

    Table 3. 日期和时间格式说明符

    格式描述%a星期几的缩写(Sun)%A星期几的完整写法(Sunday)%b月名的缩写(Oct)%B月名的完整写法(October)%c本地日期和时间%d十进制日期%D日期 08/20/99%e日期,如果只有一位会补上一个空格%H用十进制表示24小时格式的小时%I用十进制表示12小时格式的小时%j从1月1日起一年中的第几天%m十进制表示的月份%M十进制表示的分钟%p12小时表示法(AM/PM)%S十进制表示的秒%U十进制表示的一年中的第几个星期(星期天作为一个星期的开始)%w十进制表示的星期几(星期天是0)%W十进制表示的一年中的第几个星期(星期一作为一个星期的开始)%x重新设置本地日期(08/20/99)%X重新设置本地时间(12:00:00)%y两位数字表示的年(99)%Y当前月份%Z时区(PDT)%%百分号(%)

    实例:

  •             $ awk '{ now=strftime( "%D", systime() ); print now }'
  •             $ awk '{ now=strftime("%m/%d/%y"); print now }'

线上想用zabbix做监控。php安装的时候有很多模块没有安装,mbstring就是其中一个,所以现在要扩展安装一下。

就拿mbstring为例吧

环境php5.2.14, 不支持mbstring扩展

上传php源码,tar 之。
shell>cd /usr/local/src/php-5.2.14/ext

shell>ls        #下面都模块源码,想安装那个就进那个目录

shell>cd mbstring

shell>phpize
shell>./configure --with-php-config=/usr/local/php/bin/php-config                #指定php-config文件
shell>make
shell>make install               #看这一步的输出可以看出是模块的目录,我的是/usr/local/php/lib/php/extensions/no-debug-non-zts-20060613

shell>vim /usr/local/php/lib/php.ini              #编辑php.ini添加扩展目录。

extension_dir=/usr/local/php/lib/php/extensions/no-debug-non-zts-20060613

extension=mbstring.so

重启一个web服务,用phpinfo看看是否支持mbstring。

 

转自:www.chinaunix.net。作者:老表

 

在工作中经常遇到给两台主机建立ssh信任,手动建立太费事了,索性胡乱写了个脚本ssh_trust.sh来自动建立信任:

  1. #!/bin/bash
  2. src_host=$1
  3. src_username=$2
  4. src_passwd=$3

  5. dst_host=$4
  6. dst_username=$5
  7. dst_passwd=$6

  8. #在远程主机1上生成公私钥对
  9. Keygen()
  10. {
  11. expect << EOF

  12. spawn ssh $src_username@$src_host ssh-keygen -t rsa
  13. while 1 {

  14.         expect {
  15.                         "password:" {
  16.                                         send "$src_passwdn"
  17.                         }
  18.                         "yes/no*" {
  19.                                         send "yesn"
  20.                         }
  21.                         "Enter file in which to save the key*" {
  22.                                         send "n"
  23.                         }
  24.                         "Enter passphrase*" {
  25.                                         send "n"
  26.                         }
  27.                         "Enter same passphrase again:" {
  28.                                         send "n"
  29.                                         }

  30.                         "Overwrite (y/n)" {
  31.                                         send "nn"
  32.                         }
  33.                         eof {
  34.                                    exit
  35.                         }

  36.         }
  37. }
  38. EOF
  39. }

  40. #从远程主机1获取公钥保存到本地
  41. Get_pub()
  42. {
  43. expect << EOF

  44. spawn scp $src_username@$src_host:~/.ssh/id_rsa.pub /tmp
  45. expect {
  46.              "password:" {
  47.                             send "$src_passwdn";exp_continue
  48.                 }
  49.                 "yes/no*" {
  50.                             send "yesn";exp_continue
  51.                 }   
  52.                 eof {
  53.                                 exit
  54.                 }
  55. }
  56. EOF
  57. }
  58. #将公钥的内容附加到远程主机2的authorized_keys
  59. Put_pub()
  60. {
  61. src_pub="$(cat /tmp/id_rsa.pub)"
  62. expect << EOF
  63. spawn ssh $dst_username@$dst_host "chmod 700 ~/.ssh;echo $src_pub >> ~/.ssh/authorized_keys;chmod 600 ~/.ssh/authorized_ke
  64. ys"
  65. expect {
  66.             "password:" {
  67.                         send "$dst_passwdn";exp_continue
  68.              }
  69.             "yes/no*" {
  70.                         send "yesn";exp_continue
  71.              }   
  72.             eof {
  73.                         exit
  74.              }
  75. }
  76. EOF
  77. }
  78. Keygen
  79. Get_pub
  80. Put_pub

脚本主要由3个expect组成,比较简单,用法是

  1. ./ssh_trust.sh host1 user1 passwd1 host2 user2 passwd2

即建立从user1@host1到user2@host2的ssh信任。
说明:
1、当然得安装expect
2、脚本放在第三方机器(能远程登录host1和host2)上运行即可,当然放在host1和host2上运行也行。
3、如果想批量建立信任,可以编辑一个文件夹file如:

  1. host1 user1 passwd1 host2 user2 passwd2
  2. host3 user3 passwd3 host4 user4 passwd4
  3. host5 user5 passwd5 host6 user6 passwd6

使用下面命令执行脚本即可:

  1. xargs -n6 ./ssh_trust.sh < file

4、仓促写的,脚本只是简单实现功能,使用前确保参数的可用性(用户密码主机名),不然很容易报错
5、只在linuxredhat上测试过,运行成功,欢迎大家提意见~~