Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2264005
  • 博文数量: 168
  • 博客积分: 6641
  • 博客等级: 准将
  • 技术积分: 1996
  • 用 户 组: 普通用户
  • 注册时间: 2007-06-02 11:49
文章存档

2020年(4)

2019年(6)

2017年(1)

2016年(3)

2015年(3)

2014年(8)

2013年(2)

2012年(12)

2011年(19)

2010年(10)

2009年(3)

2008年(17)

2007年(80)

分类: LINUX

2011-12-28 00:28:22

 
使用rkhunter检测rootkit程序
 
2011-12-27  TsengYia#126.com http://tsengyia.blog.chinaunix.net/  
 
    rookit指的是一项后门技术、一类后门软件集,其表现形式是:攻击者使用各种后门程序文件替换系统中的正常程序文件,如login、ls、ps、top、ifconfig、crontab等,当受害者运行这些被替换后的程序时,会悄悄的执行窃取密码、获取更高级的权限、发送敏感资料等后门任务,并且会隐藏有关的日志记录、删除攻击痕迹,使用户难以察觉。
    rkhunter是Linux平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。rkhunter的官方网站位于,目前最新的版本是rkhunter-1.3.8。
 
##############################################################################
 
系统环境:
    RHEL 6.1 [2.6.32-131.0.15.el6.i686]
 
软件环境:
    rkhunter-1.3.8.tar.gz
 
##############################################################################
 
一、安装rkhunter
[root@localhost ~]# tar zxf rkhunter-1.3.8.tar.gz
[root@localhost ~]# cd rkhunter-1.3.8/
[root@localhost rkhunter-1.3.8]# ./install.sh --install


二、建立校对样本
    在系统处于“干净”状态时进行,覆盖基本的系统程序,作为文件比对依据。

[root@localhost ~]# rkhunter --propupd
[Rootkit Hunter version 1.3.8]
File created:searched for 165 files, found 136

[root@localhost ~]# ls /var/lib/rkhunter/db/rkhunter.dat
/var/lib/rkhunter/db/rkhunter.dat


三、使用rkhunter检查系统

[root@localhost ~]# rkhunter --check
[Rootkit Hunter version 1.3.8]
Checking system commands ...
  Performing 'strings' command checks
    Checking 'strings' command                    [OK]
......
  Performing file properties checks
    Checking for prerequisites                    [OK]
    /usr/local/bin/rkhunter                       [OK]
    /sbin/chkconfig                               [OK]
    /sbin/ifconfig                                [OK]
    /sbin/ifdown                                  [OK]
    /sbin/ifup                                    [OK]
    /usr/bin/GET                                  [OK]
    ......
Checking for rootkits...
  Performing check of known rootkit files and directories
    55808 Trojan - Variant A                      [Not found]
    ADM Worm                                      [Not found]
    AjaKit Rootkit                                [Not found]
    Adore Rootkit                                 [Not found]
    aPa Kit                                       [Not found]
    Apache Worm                                   [Not found]
Checking the local host...
  Performing system boot checks
    Checking for local host name                  [Found]
    Checking for system startup files             [Found]
    Checking system startup files for malware     [None found]
......


三、升级rkhunter样本库

[root@localhost ~]# rkhunter --update
 
##############################################################################

阅读(2495) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~