问题描述：大多数rootkit都使用内核的功能来隐藏自身，它们仅在内核内部可见。
如何在CentOS或Debian Linux服务器下检测rootkit？

解决方法：rootkit是一个程序(或几个程序的组合)，旨在未经计算机所有者和合法管理者的授权，对计算机系统进行基本控制(以Unix术语为root访问，以Windows术语为Administrator访问)。

在Linux下检测rootkit

您可以尝试使用以下工具来检测Linux rootkit：

警告！这些示例应从Live CD(Linux Live安全CD)运行以取得最佳效果。

Zeppoo软件

Zeppoo Zeppoo允许您使用/dev/kmem和/dev/mem在Linux下的i386和x86_64体系结构上检测rootkit。
此外，它还可以检测隐藏的任务，连接，损坏的符号，系统调用以及许多其他内容。
在此处下载源代码

Chkrootkit软件

Chkrootkitchkrootkit是一种在本地检查rootkit迹象的工具。
执行以下命令以安装chkrootkit

$ sudo apt-get install chkrootkit

开始寻找rootkit，执行：

$ sudo chkrootkit

查找可疑字符串，执行：

$ sudo chkrootkit -x | less

您需要为chkrootkit使用的外部命令指定路径，例如awk，grep等。
在只读模式下使用nfs挂载/mnt/safe，并将/mnt/safe二进制文件PATH设置为受信任的PATH，执行：

$ sudo chkrootkit -p /mnt/safe

rkhunter软件

rkhunter rkhunter(Rootkit Hunter)是一个基于Unix的工具，可以扫描rootkit，后门程序和可能的本地漏洞。

rkhunter是一个Shell脚本，它在本地系统上执行各种检查以尝试检测已知的rootkit和恶意软件。
它还执行检查以查看命令是否已被修改，系统启动文件是否已被修改以及网络接口上的各种检查，包括对监听应用程序的检查。
输入以下命令以安装rkhunter：

$ sudo apt-get install rkhunter

以下命令选项告诉rkhunter在本地系统上执行各种检查：

$ sudo rkhunter --check

以下命令选项使rkhunter检查其文本数据文件是否存在更高版本：

$ sudo rkhunter --update

以下选项告诉rkhunter要查找哪些目录以查找所需的各种命令：

$ sudo rkhunter --check --bindir /mnt/safe