Linux使用Chkrootkit和rkhunter软件检测/检查Rootkit
问题描述:大多数rootkit都使用内核的功能来隐藏自身,它们仅在内核内部可见。
如何在CentOS或Debian Linux服务器下检测rootkit?
解决方法:rootkit是一个程序(或几个程序的组合),旨在未经计算机所有者和合法管理者的授权,对计算机系统进行基本控制(以Unix术语为root访问,以Windows术语为Administrator访问)。
在Linux下检测rootkit
您可以尝试使用以下工具来检测Linux rootkit:
警告!这些示例应从Live CD(Linux Live安全CD)运行以取得最佳效果。
Zeppoo软件
Zeppoo Zeppoo允许您使用/dev/kmem和/dev/mem在Linux下的i386和x86_64体系结构上检测rootkit。
此外,它还可以检测隐藏的任务,连接,损坏的符号,系统调用以及许多其他内容。
在此处下载源代码
Chkrootkit软件
Chkrootkit
chkrootkit是一种在本地检查rootkit迹象的工具。
执行以下命令以安装chkrootkit
$ sudo apt-get install chkrootkit
开始寻找rootkit,执行:
$ sudo chkrootkit
查找可疑字符串,执行:
$ sudo chkrootkit -x | less
您需要为chkrootkit使用的外部命令指定路径,例如awk,grep等。
在只读模式下使用nfs挂载/mnt/safe,并将/mnt/safe二进制文件PATH设置为受信任的PATH,执行:
$ sudo chkrootkit -p /mnt/safe
rkhunter软件
rkhunter rkhunter(Rootkit Hunter)是一个基于Unix的工具,可以扫描rootkit,后门程序和可能的本地漏洞。
rkhunter是一个Shell脚本,它在本地系统上执行各种检查以尝试检测已知的rootkit和恶意软件。
它还执行检查以查看命令是否已被修改,系统启动文件是否已被修改以及网络接口上的各种检查,包括对监听应用程序的检查。
输入以下命令以安装rkhunter:
$ sudo apt-get install rkhunter
以下命令选项告诉rkhunter在本地系统上执行各种检查:
$ sudo rkhunter --check
以下命令选项使rkhunter检查其文本数据文件是否存在更高版本:
$ sudo rkhunter --update
以下选项告诉rkhunter要查找哪些目录以查找所需的各种命令:
$ sudo rkhunter --check --bindir /mnt/safe