防篡改Tab页
黑客可能因为一些目的,而攻击您的服务器。常见的比如政府的官方网站首页被篡改。
不常见的比如维基解密创始人朱利安•阿桑奇曾入侵美国国防部等政府机构的网站,控制其两年之久才被发现。
黑客一般入侵之后会修改您的系统文件,为自己留下后门。下次不用户输入密码就能够登录。
比如登录程序:/bin/login文件。
或者修改/bin/ps文件,隐藏自己的木马进程。
为了发现这些系统文件是不是被篡改了,又或者您的网站文件是不是被篡改了。
您就需要借助工具来发现它们。
通过此防篡改功能,可以快速的发现并还原它们。
再通过上面的进程监控功能,您可以有效的定位到木马程序,并扫除它们。
并且您可以通过木马进程的id,在端口监控中锁定到哪一台计算机在使用它们。
数据源是指您要防篡改的文件夹的备份源。
数据源分为两种类型:FTP、光盘或本地目录,只能选择其中的一种方式。
点“保存配置”按钮。再点主界面上的“读取”按钮。
数据源框中就会显示,您已经保存好的配置信息。并提示是否测试FTP连接。
选是就立刻测试,并返回结果。
数据源就设置好了,下面配置方案。
方案配置
点主界面上的“设置方案”按钮。出现防篡改方案对话框。
首先,点方案列表下面的“添加”按钮,添加一个主方案。
目标文件夹:要被监控的文件夹。
数据源相对文件夹:也就是上面数据源目录下的哪个目录。
例如:
上面数据源是FTP的/TamperBackup/目录,
那么这里指的就是FTP的/TamperBackup/LinuxSysMonitor/目录是/root/LinuxSysMonitor/的备份目录。
检查锁定:控制监控时是否比对方案条目中的文件物理属性锁定状态,钩上表示检查。
点确定后,插入到方案列表中。检查锁定状态将花去比较多的时间。
选中某一个方案,可以修改和移除方案。移除时,必须保证此主方案下没有子条目了。
还可以在下面给它添加子条目。
点方案条目下的添加按钮,打开添加对话框。
查找框中不填写,表示查找全部。
如果填写表示指定查找,在添加常用中可以下拉选择您想筛选的文件类型,多个项以空格隔开 *开头表示模糊查找。
填写好后,点击“开始扫描”按钮。
您还可以选择在监控时,是否需要比较大小,或比较md5码。
需要就打上钩。扫描时,会将这些信息都扫描到下面的列表中去。
如果两项都选,比对时md5码优先与文件大小。
在扫描状态中显示的是扫描的过程与结果,这里显示。
扫描完成共1872文件其中198文件夹大小65.86 mB用时2秒
一共扫出来1872个文件(包括的文件夹数),
其中有198个是文件夹,总大小是65.86兆。
用时2秒,并不是真正的扫描花了2秒,而加上了信息传送和界面动态显示的总时间。
实际扫描速度远快于这个时间。
注:请不要用此功能对“/”根目录进行扫描,因为文件数太多,扫描到第30万个文件时会因客户端虚拟机内存满了无法继续。
下面有4个按钮方便您对扫描结果列表进行操作。
“查找”是指在结果中快速定位查找。
“移除”是指从结果中删除某选中行。
“全部移到方案中”是指您已经编辑好这些项之后,把它们移动主界面的方案条目列表中去。
“移除”是指您对扫描的结果不满意,需求清空它们,重新扫描。
对于扫描结果中的每一行,点击右键可以选择菜单。
“锁住”是指设置文件物理属性为锁定状态。(方案中的检查锁定设为是时生效)
“不锁”是指设置文件物理属性为非锁定状态。(方案中的检查锁定设为是时生效)
如果物理属性为锁定,root用户也将不能修改删除此文件。除非他用root权限解锁。
方案中设为检查,这里选择的锁住。在控制监控时,将比对文件物理属性锁定状态,如果与设定的不一致就修改成一致的。(否:解锁,是:上锁)
“自动还原”是指如果监控时发现文件被修改了,立刻将它从备份中还原。
“不还原只警告”是指如果监控时发现文件被修改了,不还原它,只提示出来。
以上4个选项只能对文件项设定。
“全锁住”打钩,是将列表中的文件项,全部设为锁住。
我们点“全部移到方案中”,在主界面的方案条目列表中就插入了它们。
然后,点击“保存方案”按钮。这会将您的配置,保存到Linux机上。
然后,关闭它。再点主界面上的“读取”按钮。
在方案数框中,就会显示,您已经保存好的配置信息。
方案就设置好了,下面做完整性检查。
完整性检查是查找,被监控的条目,与数据源上的这些条目的备份文件都是不是存在。如果不存在将报错。
完整性检查是比较花时间的。此步骤为非必须。
如果检查成功,在下面的运行情况中会显示:
完整性检查完毕!
启动与停止监控
启动监控:启动时,会打开一个启动设置的对话框询问您要启动监控的线程个数,单个文件扫完的休眠时间和每轮扫描完的休眠时间
一般启动线程数不用设得太大,线程的多少与扫描速度和还原速度有关。
另每多一个线程,需要FTP多打开一个连接数。
为了让您的cpu得到休息,可以设定单个文件扫完的休眠时间和每轮扫描完的休眠时间。
都是以毫秒计算。您在启动之后,可以在“汇总”界面中看看cpu的使用情况,把它们调到理想状态。
下面我以10个线程数,1886个条目为例启动。
扫完一个轮询用时是376毫秒(包括了md5码比对)。
也就是说,速度是5个文件/毫秒。
再做一个实验,只启动1个线程,一个轮询用时389毫秒,相差不大。
因为中间没有休眠,无论是一个线程还是多个线程都在抢占cpu时间,cpu满负荷运行。
所以它们几乎是等效,但这样做对于cpu占用太多,对cpu不能有效的保护。
作者建议每扫完一个休眠时间填大于0的值,让cpu得到休息。
且多个线程的还原速度,绝对优于1个线程。
因为1个线程在还原时,其它线程都在继续做其它的任务。
通过上面的测试,我们发现扫描得太快了。那么,可以让它们休息一下。
如果只启动1个线程,扫描完一个文件休眠10毫秒,结果如下:
监控正在运行中,上次扫描用时21秒404毫秒
如果启动10个线程,扫描完一个文件休眠10毫秒,结果如下。
监控正在运行中,上次扫描用时02秒341毫秒
这样,速度下来了,cpu也得到了好的保护。
2秒扫描,加上1秒的轮询休眠时间,一共3秒钟就比对完了一遍。
下面做一个文件被替换的测试:
将一个日志文件修改掉后,右下角显示一个文件篡改提示的小窗口,点击窗口中的按钮,
对应的Linux监控主界面被显示出来,如果显示的不是“防篡改”界面,会自动跳到“防篡改”界面。
运行情况框中显示出下面的信息。
发现文件md5码与配置中的不一致:
primary=faffe8b242d7d0602a9062653e8cb284 now=d21d63d0105e8f5288e041d5326f5bad /root/LinuxSysMonitor/bin/error.log.2013-06-16
--------------------------------------------------
还原文件成功:
/root/LinuxSysMonitor/bin/error.log.2013-06-16
Ftp备份路径:/TamperBackup/LinuxSysMonitor/bin/error.log.2013-06-16
--------------------------------------------------
注:如果删除了文件夹,会把文件夹里的设定为自动还原的条目都还原。
启动之后,关闭了客户端,不影响防篡改监控的运行,下次打开客户端,还是会看到它的运行情况,而不用再点启动按钮。
停止监控:点击“停止监控”按钮,等待1-2秒之后,运行情况框中显示,监控已停止的信息。并且“停止监控”按钮,变成了“启动监控”按钮