Processing math: 100%
AI 助理
备案控制台登录注册
开发者社区 开发与运维 文章 正文

使用chkrootkit工具检查linux服务器是否被攻击

2017-11-27 1300
版权
举报
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
    在检查linux是否被攻击的时候,可以通过如下几个简单方法:
1) ps awuxf 查看进程
2) rpm -V SysinitV检查关键系统包   
但是,如果ps和rpm命令本身都被替换掉了,则无法检查出问题。
这里可以使用chkrootkit的工具检查,这是一个开放源代码的安全检测工具
他的官方网站是www.chkrootkit.org 。

首先下载chkrootkit工具(这里提供的是for redhat as4 linux 的版本)
   wget http://www.swsoft.com.cn/downloads/Prima/Tools/chkrootkit-0.47-2.i386.rpm

安装这个rpm包
rpm -ivh chkrootkit-0.47-2.i386.rpm

运行
chkrootkit

查看输出的结果:
root@3.5.5Biz-46 ~]# chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected   Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected

其中not infected就表示没有被感染。

注意,在prima for linux的服务器上,可能会出现误报:
Checking `scalper'... Warning: Possible Scalper Worm installed
   这是因为,prima for linux的功能服务器安装了acasd后台服务
  而acasd占用的端口正好是2001,和名为Scalper Worm的蠕虫占用的端口相同
  所以可能会被误报为病毒。
  关于Scalper Worm的信息,可查看Symantec的官方报告:
  http://www.symantec.com/security_response/writeup.jsp?docid=2002-062814-5031-99
  
  Symantec的官方报告中提到:
  * Distribution Level: Low
  * Ports: 2001
  * Target of Infection: unpatched Apache Webservers on the FreeBSD operating system
  
  就是其中的port 2001引起误报。
  
  在chkrootkit中的chkrootkit的源代码中,也可以找到如下代码:
  scalper (){
  SCALPER_FILES="ROOTDIRtmp/.uua{ROOTDIR}tmp/.a"
  SCALPER_PORT=2001
  OPT=-an
  STATUS=0
  
  if netstat"{OPT}" | egrep"0.0:{SCALPER_PORT} "> /dev/null 2>&1; then
  STATUS=1
  fi
  for i in ${SCALPER_FILES}; do
  if [ -f ${i} ]; then
  STATUS=1
  fi
  done
  if [ ${STATUS} -eq 1 ] ;then
  echo "Warning: Possible Scalper Worm installed"
  else
  if [ "${QUIET}" != "t" ]; then echo "not infected"; fi
  return ${NOT_INFECTED}
  fi
  }

  

本文转自 linuxpp 51CTO博客,原文链接:http://blog.51cto.com/1439337369/1743202,如需转载请自行联系原作者

文章标签:
Linux
Unix
Apache
安全
关键词:
云服务器 ECS Linux
Linux服务器
Linux工具
云服务器 ECS工具
云服务器 ECS攻击
技术小阿哥
+关注
13662文章
目录
打赏
0
0
0
0
265
分享
相关文章
aliyun3944920541
|
2月前
|
Linux 开发工具
7种比较Linux中文本文件的最佳工具
7种比较Linux中文本文件的最佳工具
aliyun3944920541
115 0
7种比较Linux中文本文件的最佳工具
蓝易云
|
2月前
|
Ubuntu 搜索推荐 Linux
详解Ubuntu的strings与grep命令:Linux开发的实用工具。
这就是Ubuntu中的strings和grep命令,透明且强大。我希望你喜欢这个神奇的世界,并能在你的Linux开发旅程上,通过它们找到你的方向。记住,你的电脑是你的舞台,在上面你可以做任何你想做的事,只要你敢于尝试。
蓝易云
138 32
游客xzuyomqimtati
|
2月前
|
运维 Linux 网络安全
国产服务器管理工具对比
本内容以表格形式对比了五款工具(宝塔面板、1Panel、gmSSH、Xterminal)的功能定位、用户界面、核心功能、适用场景等关键维度。涵盖服务器运维、容器化管理、SSH客户端及跨平台支持等方面,帮助用户根据需求选择合适的工具。适合开发者、运维人员及中小企业技术团队参考。
游客xzuyomqimtati
155 11
1436047922066202
|
2月前
|
数据挖掘 Linux 数据库
服务器数据恢复—Linux系统服务器数据恢复案例
服务器数据恢复环境: linux操作系统服务器中有一组由4块SAS接口硬盘组建的raid5阵列。 服务器故障: 服务器工作过程中突然崩溃。管理员将服务器操作系统进行了重装。 用户方需要恢复服务器中的数据库、办公文档、代码文件等。
1436047922066202
81 1
游客dywvtr44nlu6i
|
3月前
|
域名解析 SQL 网络协议
阿里云服务器国际站高防bgp服务器参数怎么看?服务器被攻击了怎么解决?
阿里云服务器国际站高防bgp服务器参数怎么看?服务器被攻击了怎么解决?
游客dywvtr44nlu6i
111 4
蓝易云
|
3月前
|
JavaScript Linux Python
在Linux服务器中遇到的立即重启后的绑定错误:地址已被使用问题解决
总的来说,解决"地址已被使用"的问题需要理解Linux的网络资源管理机制,选择合适的套接字选项,以及合适的时间点进行服务重启。以上就是对“立即重启后的绑定错误:地址已被使用问题”的全面解答。希望可以帮你解决问题。
蓝易云
190 20
sysin
|
4月前
|
自然语言处理 数据库 iOS开发
DBeaver Ultimate Edtion 25.0 Multilingual (macOS, Linux, Windows) - 通用数据库工具
DBeaver Ultimate Edtion 25.0 Multilingual (macOS, Linux, Windows) - 通用数据库工具
sysin
268 12
DBeaver Ultimate Edtion 25.0 Multilingual (macOS, Linux, Windows) - 通用数据库工具
1239147665459462
|
3月前
|
运维 安全 Linux
试试Linux设备命令行运维工具——Wowkey
WowKey 是一款专为 Linux 设备设计的命令行运维工具,提供自动化、批量化、标准化、简单化的运维解决方案。它简单易用、高效集成且无依赖,仅需 WIS 指令剧本文件、APT 账号密码文件和 wowkey 命令即可操作。通过分离鉴权内容与执行内容,WowKey 让运维人员专注于决策,摆脱繁琐的交互与执行细节工作,大幅提升运维效率与质量。无论是健康检查、数据采集还是配置更新,WowKey 都能助您轻松应对大规模设备运维挑战。立即从官方资源了解更多信息:https://atsight.top/training。
1239147665459462
135 6
1239147665459462
|
3月前
|
数据采集 运维 安全
Linux设备命令行运维工具WowKey问答
WowKey 是一款用于 Linux 设备运维的工具,可通过命令行手动或自动执行指令剧本,实现批量、标准化操作,如健康检查、数据采集、配置更新等。它简单易用,只需编写 WIS 指令剧本和 APT 帐号密码表文件,学习成本极低。支持不同流派的 Linux 系统,如 RHEL、Debian、SUSE 等,只要使用通用 Shell 命令即可通吃Linux设备。
1239147665459462
63 1
追逐时光者
|
4月前
|
自然语言处理 安全 开发工具
分享一个纯净无广、原版操作系统、开发人员工具、服务器等资源免费下载的网站
分享一个纯净无广、原版操作系统、开发人员工具、服务器等资源免费下载的网站
追逐时光者
182 4

热门文章

最新文章

  • 1
    Linux环境下VSCode快速安装终极指南:debian/ubuntu/linux平台通用
    32
  • 2
    Linux系统安装Postgre和Postgis教程
    34
  • 3
    linux命令—ls
    25
  • 4
    Studio 3T 2025.11 (macOS, Linux, Windows) - MongoDB 的终极 GUI、IDE 和 客户端
    14
  • 5
    linux命令—cd
    4
  • 6
    linux命令—tree
    9
  • 7
    Linux命令拓展:为cp和mv添加进度显示
    6
  • 8
    Linux环境下必备的基础命令概览
    5
  • 9
    linux命令—pwd
    2
  • 10
    最新阿里云服务器租用价格:云服务器包年包月及按量收费标准价格表
    146
  • 1
    阿里云国际服务器:全球企业数字化转型的云端基石
    76
  • 2
    阿里云服务器ESSD云盘解析:性能、计费与适用场景介绍
    50
  • 3
    Unity开发中使用UnityWebRequest从HTTP服务器下载资源。
    60
  • 4
    如何使用Bluetown Cloud服务器及其CDN服务来掩护VPS的真实IP地址。
    38
  • 5
    网关服务器配置指南:实现自动DHCP地址分配、HTTP服务和SSH无密码登录。
    62
  • 6
    云服务器搭建rttys服务
    36
  • 7
    阿里云服务器公网带宽收费标准:按固定带宽和使用流量计费规则
    264
  • 8
    如何自定义购买阿里云服务器ECS?详细参考步骤,答疑解惑
    52
  • 9
    在Docker容器中部署GitLab服务器的步骤(面向Ubuntu 16.04)
    59
  • 10
    Windows下版本控制器(SVN)-启动服务器端程序
    59

    • 相关课程

    更多
  • ECS上云入门三部曲
  • 服务器硬件基础
  • Linux Web服务器Nginx搭建与配置
  • 7天玩转云服务器
  • 云服务器选型、迁云最佳实践
  • 云服务器ECS基本操作

    • 相关电子书

    更多
  • 如何运维千台以上游戏云服务器
  • 网站/服务器取证 实践与挑战
  • ECS块储存产品全面解析

    • 相关实验场景

    更多
  • 幻兽帕鲁联机服务快速部署【有ECS用户】
  • 幻兽帕鲁联机服务快速部署【无ECS用户】
  • 云原生场景自动化响应ECS系统事件
  • ECS实例选型最佳实践
  • 使用阿里云ECS安装家用内网穿透服务

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    阿里云服务器申请免费试用图文教程(个人和企业均可申请)
    AI助理

    你好,我是AI助理

    可以解答问题、推荐解决方案等

    登录插画

    登录以查看您的控制台资源

    管理云资源
    状态一览
    快捷访问
    快捷注册登录阿里云