Linux使用Chkrootkit和rkhunter软件检测/检查Rootkit

时间:2020-01-09 10:40:04  来源:igfitidea点击:

问题描述:大多数rootkit都使用内核的功能来隐藏自身,它们仅在内核内部可见。
如何在CentOS或Debian Linux服务器下检测rootkit?

解决方法:rootkit是一个程序(或几个程序的组合),旨在未经计算机所有者和合法管理者的授权,对计算机系统进行基本控制(以Unix术语为root访问,以Windows术语为Administrator访问)。

在Linux下检测rootkit

您可以尝试使用以下工具来检测Linux rootkit:

警告!这些示例应从Live CD(Linux Live安全CD)运行以取得最佳效果。

Zeppoo软件

Zeppoo Zeppoo允许您使用/dev/kmem和/dev/mem在Linux下的i386和x86_64体系结构上检测rootkit。
此外,它还可以检测隐藏的任务,连接,损坏的符号,系统调用以及许多其他内容。
在此处下载源代码

Chkrootkit软件

Chkrootkitchkrootkit是一种在本地检查rootkit迹象的工具。
执行以下命令以安装chkrootkit

$ sudo apt-get install chkrootkit

开始寻找rootkit,执行:

$ sudo chkrootkit

查找可疑字符串,执行:

$ sudo chkrootkit -x | less

您需要为chkrootkit使用的外部命令指定路径,例如awk,grep等。
在只读模式下使用nfs挂载/mnt/safe,并将/mnt/safe二进制文件PATH设置为受信任的PATH,执行:

$ sudo chkrootkit -p /mnt/safe

rkhunter软件

rkhunter rkhunter(Rootkit Hunter)是一个基于Unix的工具,可以扫描rootkit,后门程序和可能的本地漏洞。

rkhunter是一个Shell脚本,它在本地系统上执行各种检查以尝试检测已知的rootkit和恶意软件。
它还执行检查以查看命令是否已被修改,系统启动文件是否已被修改以及网络接口上的各种检查,包括对监听应用程序的检查。
输入以下命令以安装rkhunter:

$ sudo apt-get install rkhunter

以下命令选项告诉rkhunter在本地系统上执行各种检查:

$ sudo rkhunter --check

以下命令选项使rkhunter检查其文本数据文件是否存在更高版本:

$ sudo rkhunter --update

以下选项告诉rkhunter要查找哪些目录以查找所需的各种命令:

$ sudo rkhunter --check --bindir /mnt/safe