介绍linux上两种rootkits检测工具: Rootkit Hunter和Chkrootkit-阿里云开发者社区

开发者社区> cnbird> 正文

介绍linux上两种rootkits检测工具: Rootkit Hunter和Chkrootkit

简介: 本文主要介绍linux上检测rootkit的两种工具: Rootkit Hunter和Chkrootkit.
+关注继续查看
本文主要介绍linux上检测rootkit的两种工具: Rootkit Hunter和Chkrootkit.
Rootkit Hunter
中文名叫”Rootkit猎手”, 可以发现大约58个已知的rootkits和一些嗅探器和后门程序. 它通过执行一系列的测试脚本来确认你的机器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核模块等等. Rootkit Hunter由Michael Boelen开发, 是开源(GPL)软件.
安装Rootkit Hunter非常简单, 从网站下载软件包, 解压, 然后以root用户身份运行installer.sh脚本.
图: Rootkit Hunter正在检测linux机器上的rootkits.
成功安装后, 你可以通过运行下面命令来检测你的机器是否已感染rootkit:
# rkhunter -c
二进制可执行文件rkhunter被安装到/usr/local/bin目录, 你需要以root身份来运行该程序. 程序运行后, 它主要执行下面一系列的测试:
1. MD5校验测试, 检测任何文件是否改动.
2. 检测rootkits使用的二进制和系统工具文件.
3. 检测特洛伊木马程序的特征码.
4. 检测大多常用程序的文件异常属性.
5. 执行一些系统相关的测试 - 因为rootkit hunter可支持多个系统平台.
6. 扫描任何混杂模式下的接口和后门程序常用的端口.
7. 检测如/etc/rc.d/目录下的所有配置文件, 日志文件, 任何异常的隐藏文件等等. 例如, 在检测/dev/.udev和/etc/.pwd.lock文件时候, 我的系统被警告.
8. 对一些使用常用端口的应用程序进行版本测试. 如: Apache Web Server, Procmail等.
完成上面检测后, 你的屏幕会显示扫描结果: 可能被感染的文件, 不正确的MD5校验文件和已被感染的应用程序.
图: 另外的屏幕快照, rootkit hunter正在执行一系列的测试.
在我的机器上, 扫描用了175秒. 缺省情况下, rkhunter对系统进行已知的一些检测. 但是你也可以通过使用’–scan-knownbad-files’来执行未知的错误检测:
# rkhunter -c –scan-knownbad-files
rkhunter是通过一个含有rootkit名字的数据库来检测系统的rootkits漏洞, 所以经常更新该数据库非常重要, 你可以通过下面命令来更新该数据库:
# rkhunter –update
当然最好是通过cron job定期执行上面的命令, 你需要用root用户添加下面命令到crontab文件:
59 23 1 * * echo “Rkhunter update check in progress”;/usr/local/bin/rkhunter –update
上面一行告诉cron程序在每月第一天的下午11:59分执行rkhunter数据库更新工作, 而且你的root用户会收到一封结果通知邮件.
Chkrootkit
Chkrootkit由Nelson Murilo和Klaus Steding Jessen开发. 与Rootkit Hunter程序不同的是, chrootkit不需要installer安装程序, 你只需解开软件包后执行chrootkit即可, 然后将对一些二进制文件进行一系列的测试, 除了与Rootkit Hunter相同的测试外, Chkrootkit还对一些重要的二进制文件进行检测, 比如搜索入侵者已更改日志文件的特征信息等等. 而且, 如果你想列出已经测试的所有项目, 你可以运行带有’-l’参数的命令:
# chkrootkit -l
在测试过程中, 如果你想在屏幕上看到更多有用的信息, 执行下面命令:
# chkrootkit -x
chkrootkit将在专家模式(expert mode)运行.
在Linux上组合使用Rootkit Hunter和Chkrootkit工具是检测rootkis不错的办法.
备注:
转载请保持文章完整性, 欢迎交流.
 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
linux命令行介绍及使用(二)
1.在终端输入gconf-editor打开“Apps->Metacity->Global Keybingdings”找到快捷键的设置,找到“Show desktop”可修改显示桌面的快捷方式,默认为d(注:Ctrl和Alt键之间的键为即Windows键) 2.
740 0
[Linux]-介绍几款Linux比较实用的工具
本文介绍几款Linux比较实用的工具希望有所帮助。
39 0
五大免费企业网络入侵检测工具(IDS)
Snort一直都是网络入侵检测(IDS)和入侵防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多年来,Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort,同时仍然免费提供功能有限的免费版本Snort)持续不断的支持,Snort很可能会继续保持其领导地位。
1507 0
ngx_lua_API 指令详解(六)ngx.thread.spawn、ngx.thread.wait、ngx.thread.kill介绍
摘要:通过lua-nginx-module中的ngx.thread同时执行多个任务。 ngx_lua中访问多个第三方服务 ngx_lua中提供了ngx.socket API,可以方便的访问第三方网络服务。
2399 0
Linux系统被入侵后处理方式介绍
使用前一定先创建快照备份,否则不要执行脚本。 1、将ECS断开网络连接 使用ECS安全组单独对该ECS进行隔离;出方向禁止所有协议。入方向只允许运维的端口和指定IP进入,其他均禁止。
1567 0
带你读《跟老男孩学Linux运维:核心基础篇(上)(第2版)》之二:Linux系统介绍与环境搭建准备
本书是一本以企业Linux运维需要的知识为基础的实战型教学图书,书的内容并非大而全,但处处可以体现实战二字,非常多的内容取自于企业实战案例,并结合老男孩十几年的运维经验和教学经验进行梳理。
1115 0
序列化类型 System.Data.Entity.DynamicProxies 的对象时检测到循环引用
序列化类型 System.Data.Entity.DynamicProxies 的对象时检测到循环引用   详细错误内容为: 不应为数据协定名称为BlogArticle_8F5767B5CA34AC0BBFE8F59DB428937035A9A77CC2917A318A2808A379392602: http://schemas.
436 0
+关注
cnbird
阿里云安全专家,主要负责阿里云云产品安全。
3242
文章
3
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载