企業Shell面試題14：開發腳本入侵檢測與報警案例

阿新 • • 發佈：2017-05-11

開發腳本入侵檢測與報警案例、md5sum指紋、

面試及實戰考試題：監控web站點目錄（/var/html/www）下所有文件是否被惡意篡改（文件內容被改了），如果有就打印改動的文件名（發郵件），定時任務每3分鐘執行一次。

1.1問題分析

1）首先要說明的是，思考過程的積累比實際代碼開發的能力積累更重要。

2）什麽是惡意篡改，只要是未經過許可的改動都是篡改。

3）文件內容被改動了會有如下特征。

◎ 大小可能會變化

◎ 修改時間會變化

◎ 文件內容會變化，利用md5sum指紋校驗

◎ 增加或刪除文件，比對每次檢測前後的文件數量。

1.2參考解答

本題主要采用md5sum的方法來實現。

第一步，在企業網站發布代碼之後，即對所有網站數據建立初始指紋庫和文件庫，這個步驟很重要，沒有基礎的指紋庫，無法進行入侵檢測。

以/var/html/www作為站點目錄為例。

1）建立測試數據：

[[email protected] scripts]# mkdir /var/html/www -p #<==創建站點目錄。

[[email protected] scripts]# cp -a /etc/a* /var/html/www #<==復制少量測試數據。

[[email protected] scripts]# cp -a /etc/b* /var/html/www #<==復制少量測試數據。

[[email protected] scripts]# ls /var/html/www #<==檢查。

abrt acpi adjtime aliases aliases.db alsa alternatives anacrontab asound.conf at.deny audisp audit bash_completion.d bashrc blkid

2）建立初始的文件指紋庫：

[[email protected] scripts]# find /var/html/www -type f|xargs md5sum >/opt/zhiwen.db.ori

<==建立文件內容指紋庫。

[[email protected] scripts]# tail /opt/zhiwen.db.ori

68b329da9893e34099c7d8ad5cb9c940 /var/html/www/at.deny

e5d91bca71662d7c09bc7fc731ad3222 /var/html/www/adjtime

8241db83d5edf01c71734e41e383e205 /var/html/www/anacrontab

c23a47aca3ec55122b8871c5a61494b5 /var/html/www/abrt/abrt-action-save-package-data.conf

9cd848af905b767fa410070b265a70c7 /var/html/www/abrt/gpg_keys

b6bcc3a178b9442d30d88444a9311769 /var/html/www/abrt/abrt.conf

441645d0e419c1f593694ca014817ee1 /var/html/www/abrt/plugins/CCpp.conf

1ecf30990ac5948a8e3bd7b8c1cd944f /var/html/www/abrt/plugins/python.conf

1e4aded98bb1ff08094c8dfb09d33192 /var/html/www/abrt/plugins/oops.conf

b2a676d524cb2d46eccc00baadfbfe29 /var/html/www/aliases.db

3）建立初始的文件庫：

[[email protected] scripts]# find /var/html/www -type f>/opt/wenjian.db.ori

#<==建立文件數量和名字庫。

[[email protected] scripts]# tail /opt/wenjian.db.ori

/var/html/www/at.deny

/var/html/www/adjtime

/var/html/www/anacrontab

/var/html/www/abrt/abrt-action-save-package-data.conf

/var/html/www/abrt/gpg_keys

/var/html/www/abrt/abrt.conf

/var/html/www/abrt/plugins/CCpp.conf

/var/html/www/abrt/plugins/python.conf

/var/html/www/abrt/plugins/oops.conf

/var/html/www/aliases.db

第二步，檢測文件內容和文件數量變化。

1）檢測文件內容變化：

[[email protected] scripts]# echo oldboy>>/var/html/www/audisp/plugins.d/af_unix.conf #<==篡改文件。

[[email protected] scripts]# export #<==調整字符集。

[[email protected] scripts]# md5sum -c --quiet/opt/zhiwen.db.ori

#<==檢查所有文件的內容是否變化。

/var/html/www/audisp/plugins.d/af_unix.conf: FAILED #<==變化的會被打印出來。

md5sum: WARNING: 1 of 29 computed checksums did NOTmatch #<==綜合提示。

2）檢測文件數量變化：

[[email protected] scripts]# echo oldgirl.txt>/var/html/www/test.txt

#<==模擬增加新文件。

[[email protected] scripts]# md5sum -c --quiet/opt/zhiwen.db.ori

#<==利用指紋庫無法檢測新增文件。

/var/html/www/audisp/plugins.d/af_unix.conf: FAILED

md5sum: WARNING: 1 of 29 computed checksums did NOT match

[[email protected] scripts]# find /var/html/www -type f>/opt/wenjian.db_curr.ori

#<==獲取檢測前的所有文件數量及文件名。

[[email protected] scripts]# diff /opt/wenjian.db* #<==采用diff命令比較。

20d19

< /var/html/www/test.txt #<==test.txt就是新增的，怎麽樣，還可以吧。

第三步，開發檢查指紋識別腳本。

首先，人工做如下操作：

[[email protected] scripts]# find /var/html/www -type f |xargs md5sum>/opt/zhiwen.db.ori

[[email protected] scripts]# find /var/html/www -type f>/opt/wenjian.db.ori

腳本檢測會以上述兩個命令獲取的結果為原始的正確依據，如下

[[email protected] scripts]# cat 30-14.sh

#!/bin/bash

RETVAL=0 #<==狀態初始化。

export #<==調整字符集。

CHECK_DIR=/var/html/www #<==定義要監測得站點目錄。

[ -e $CHECK_DIR ] || exit 1 #<==如果目錄不存在則退出腳本。

ZhiWenDbOri="/opt/zhiwen.db.ori" #<==定義原始指紋庫路徑。

FileCountDbOri="/opt/wenjian.db.ori" #<==定義原始文件庫路徑。

ErrLog="/opt/err.log" #<==定義檢測後的內容日誌。

[ -e $ZhiWenDbOri ] || exit 2 #<==如果原始指紋庫不存在則退出腳本。

[ -e $FileCountDbOri ] || exit 3 #<==如果原始文件庫不存在則退出腳本。

#judge file contet

echo "[[email protected] scripts]# md5sum -c --quit/opt/zhiwen.db.ori">$ErrLog #<==打印檢測命令。

md5sum -c --quiet /opt/wenjian.db.ori &>>$ErrLog #<==實際執行檢測命令。

RETVAL=$? #<==收集返回值。

#com file count

find $CHECK_DIR -type f >/opt/wenjian.db_curr.ori #<==實際執行檢測命令，獲取最新文件數量等。

echo "[[email protected] scripts]# diff /opt/wenjian.db*"&>>$ErrLog #<==打印檢測命令。

diff /opt/wenjian.db* &>>$ErrLog #<==實際執行檢測命令，比對文件數量及文件名變化情況。

if [ $RETVAL -ne 0 -o `diff /opt/wenjian.db*|wc -l`-ne 0 ]

#<==如果返回值不為0，或者比對結果行數不為0，則進入判斷。

then

mail -s "`uname -n`$(date +%F) err" [email protected] <$ErrLog

else

echo "Sites dir isok"|mail -s"`uname -n` $(date +%F) is ok" [email protected]

mail發送相關配置內容

[[email protected] scripts]# cat /etc/mail.rc

# For Linux and BSD, this should be set. #<==配置文件的最後修改mail內容。

set bsdcompat

set [email protected] smtp=smtp.163.com

set smtp-auth-user=15537920814smtp-auth-password=l123456 smtp-auth=login

然後利用定時任務檢查，命令如下：

[[email protected] scripts]# crontab -l|tail -2

# ids monitor site dir and file change by oldboy at20170511

*/3 * * * * /bin/sh /server/scripts/30-10.sh>/dev/null 2>&1

現在來思考一下，在企業中一般什麽文件需要做指紋驗證呢？

系統命令、用戶文件、配置文件、啟動文件等重要文件，都要監控起來，另外，在實際工作中應對所有的用戶操作做日誌審計，讓所有人的所有操作無處遁形，起到威懾和監督的作用，從而減少被當作“黑鍋俠”的風險。

本文出自 “為人民服務” 博客，請務必保留此出處http://junhun.blog.51cto.com/12852949/1924731

企業Shell面試題14：開發腳本入侵檢測與報警案例

開發腳本入侵檢測與報警案例、md5sum指紋、面試及實戰考試題：監控web站點目錄（/var/html/www）下所有文件是否被惡意篡改（文件內容被改了），如果有就打印改動的文件名（發郵件），定時任務每3分鐘執行一次。1.1問題分析1）首先要說明的是，思考過程的積累比實際代碼開發的能力積累更重

面試題14：剪繩子（動態規劃，貪心演算法）

一、題目：一根長度為n的繩子，剪成m段,m,n都大於1，且都為整數,每段長度記為k[0],k[1]…,k[m].求k[0]*k[1]…*k[m]可能的最大乘積 1.1解法：兩種不同的方法解決這個問題，先用常規的需要O(n²)時間和O(n)空間的動態規劃，接著用只需要O(1)的

劍指offer面試題14：剪繩子（Java 實現)

題目：給你一根長度位n的繩子，請把繩子減成m段（m，n都是整數，n>1並且m>1），每段繩子的長度記為k[0],k[1],k[2],....k[m]。請問k[0] ✖️k[1]✖️k[2]....✖️k[m]可能的最大乘積是多少？例如：當繩子的長度是8時，我們把

面試題14：剪繩子

-type utf-8 pro har class echo div color for <?php header("content-type:text/html;charset=utf-8"); /* * 剪繩子把一根繩子剪成多段，並且使得每段的長度乘積最大。

【劍指offer】面試題14：剪繩子

題目：給你一根長度為 n 繩子，請把繩子剪成m段（m、n都是整數，n>1並且m≥1）。每段的繩子的長度記為k[0]、k[1]、…… 、k[m]。請問 k[0] * k[1] * … * k[m]可能的最大乘積是多少？例如當繩子的長度是8時，我們把它剪成長度分別為2、3、3的三段，此時得

【劍指Offer學習】【面試題14 ：調整陣列順序使奇數位於偶數前面】

題目:輸入一個整數陣列，實現一個函式來調整該陣列中數字的順序，使得所有奇數位於陣列的前半部分，所有偶數位予陣列的後半部分。這個題目要求把奇數放在陣列的前半部分，偶數放在陣列的後半部分，因此所有的奇數應該位於偶數的前面。也就是說我們在掃描這個陣列的時候，如

劍指Offer專題-陣列-面試題14：調整陣列順序使得奇數位於偶數前面

題目描述輸入一個整數陣列，實現一個函式來調整該陣列中數字的順序，使得所有的奇數位於陣列的前半部分，所有的偶數位於陣列的後半部分，並保證奇數和奇數，偶數和偶數之間的相對位置不變。 public cl

企業Shell面試題及企業運維實戰案例(三)

編寫狀態 title 技術 length bit 批量創建 gre -a 1、企業Shell面試題1：批量生成隨機字符文件名案例使用for循環在/oldboy目錄下批量創建10個html文件，其中每個文件需要包含10個隨機小寫字母加固定字符串oldboy，名稱示例如下

前端開發經典面試題之一：將2個有序陣列排序

實現2個有序陣列的排序比如將如下兩個有序陣列 [1, 3, 5, 7, 9, 12, 15, 18] 和 [2, 8, 11, 16, 19] 排序後，我們希望得到新陣列[ 1, 2, 3, 5, 7, 8, 9, 11, 12, 15, 16, 18,

面試題9：數組堆化、堆的插入、堆的刪除、堆排序

art 面試 rewind 刪除 test from minimum 面試題排序參考：白話經典算法系列之七堆與堆排序 1 #include <iostream> 2 #include <climits> 3 #include <v

面試題22：有序數組生成BST

++ root pre sum col push_back div fin += 對於一個含有n個數的有序數組1~N，能夠產生多少種不同結果的二叉搜素樹BST？如何生成這些不同結構的BST？ 1 class Solution { 2 public: 3

老男孩教育每日一題-第95天-shell腳本知識點：書寫腳本完成ftp上傳下載

ftp腳本 ftp上傳腳本 ftp下周腳本每日一題題目日常工作中經常用到FTP，進行文件的共享與下載，單對於有些不熟悉FTP命令行人員使用FTP進行共享文件管理，是一件很頭疼的事。而且FTP如果有些文件需要每天定時進行上傳或下載，人為重復相同工作也是沒有意義的因此如何編寫自動下載或上傳FT

面試題3：在一個長度為n的數組裏的所有數字都在0到n-1的範圍內。數組中某些數字是重復的，但不知道有幾個數字是重復的。也不知道每個數字重復幾次。請找出數組中任意一個重復的數字。例如，如果輸入長度為7的數組{2,3,1,0,2,5,3}，那麽對應的輸出是第一個重復的數字2。

length value 如果 while 返回 sys public ret || package siweifasan_6_5; /** * @Description:在一個長度為n的數組裏的所有數字都在0到n-1的範圍內。 * 數組中某些數字是重復的，

企業Shell面試題14：開發腳本入侵檢測與報警案例

1.1問題分析

1.2參考解答

企業Shell面試題14：開發腳本入侵檢測與報警案例

面試題14：剪繩子（動態規劃，貪心演算法）

劍指offer面試題14：剪繩子（Java 實現)

面試題14：剪繩子

【劍指offer】面試題14：剪繩子

【劍指Offer學習】【面試題14 ：調整陣列順序使奇數位於偶數前面】

劍指Offer專題-陣列-面試題14：調整陣列順序使得奇數位於偶數前面

企業Shell面試題及企業運維實戰案例(三)

前端開發經典面試題之一：將2個有序陣列排序

面試題9：數組堆化、堆的插入、堆的刪除、堆排序

面試題22：有序數組生成BST

老男孩教育每日一題-第95天-shell腳本知識點：書寫腳本完成ftp上傳下載

面試題4：二維數組中的查找

shell面試題總結

各大互聯網企業Java面試題匯總，看我如何成功拿到百度的offer

面試題思考：什麽是對象/關系映射集成模塊

面試題思考：BS與CS的區別與聯系

面試題思考：java中快速失敗(fail-fast)和安全失敗(fail-safe)的區別是什麽？

面試題思考：Cookie 和 Session的區別

企業Shell面試題14：開發腳本入侵檢測與報警案例

1.1問題分析

1.2參考解答

相關推薦