1.  什么是rootkit
rootkit指的是一项后门技术、一类后门软件集,其表现形式是:攻击者使用各种后门程序文件替换系统中的正常程序文件,例如login、ls、ps、top、ifconfig、crontab等,当受害者运行这些被替换的程序时,会执行窃取密码、提升权限、发送敏感资料等后门任务,并且会隐藏相关的日志记录、删除攻击痕迹。
rootkit的目的在于隐藏自己不被发现,阻止用户识别和删除攻击程序文件,以便允许攻击者在受害机保持长期存在,持续执行各种后门任务。大多数用户对系统中的rootkit程序可能毫无察觉,因为这些后门程序“看起来”和正常程序并无差别。
由于rootkit的隐蔽性和被动攻击的特点,通常很难被发现。针对rootkit后门的猎杀手段,一方面可以使用各种病毒扫描软件,另一方面可以针对系统程序做完整性检查。在Linux服务器中,可以使用Tripwire校验工具、Rootkit Hunter猎杀工具等。对于找出的Rootkit,可能很难确认到底造成了那些损害,因此最好的应对方法是格式化后重新安装系统,虽然这种手段很严厉,但这是已经证实的唯一可以彻底删除rootkit的方法。
 
2.  关于rkhunter
rkhunter是Linux平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。rkhunter的官方网站位于http://www.rootkit.nl/,目前最新的版本是rkhunter-1.3.8。
3、安装rkhunter
[root@localhost pub]# tar zxf rkhunter-1.3.8.tar.gz
[root@localhost pub]# cd rkhunter-1.3.8
[root@localhost rkhunter-1.3.8]# ./installer.sh --install

2 )为基本系统程序建立校对样本(干净的系统)

[root@localhost ~]# rkhunter --propupd

[ Rootkit Hunter version 1.3.8 ]

File created: searched for 165 files, found 136

[root@localhost ~]# ls /var/lib/rkhunter/db/rkhunter.dat