使用rkhunter检测rootkit程序-一路狂笑-ChinaUnix博客

TY.LINUX狂笑轩tsengyia.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

一路狂笑

博客访问： 2266593
博文数量： 168
博客积分： 6641
博客等级：准将
技术积分： 1996
用户组：普通用户
注册时间： 2007-06-02 11:49

文章分类

全部博文（168）

原创笔记（148）

Windows相关技术（3）

Shell脚本应用（24）

Linux网络服务（31）

Linux系统管理（31）

云网架构及运维（39）

Windows系统网络（1）

Linux安全防护（19）
技术文摘（20）

Windows桌面及服（2）

网络和系统集成（4）

Linux网络及安全（14）
未分配的博文（0）

文章存档

2020年（4）

2019年（6）

2017年（1）

2016年（3）

2015年（3）

2014年（8）

2013年（2）

2012年（12）

2011年（19）

2010年（10）

2009年（3）

2008年（17）

2007年（80）

我的朋友

相关博文

使用rkhunter检测rootkit程序

分类： LINUX

2011-12-28 00:28:22

使用rkhunter检测rootkit程序

2011-12-27 TsengYia#126.com http://tsengyia.blog.chinaunix.net/

    rookit指的是一项后门技术、一类后门软件集，其表现形式是：攻击者使用各种后门程序文件替换系统中的正常程序文件，如login、ls、ps、top、ifconfig、crontab等，当受害者运行这些被替换后的程序时，会悄悄的执行窃取密码、获取更高级的权限、发送敏感资料等后门任务，并且会隐藏有关的日志记录、删除攻击痕迹，使用户难以察觉。
    rkhunter是Linux平台下的一款开源入侵检测工具，具有非常全面的扫描范围，除了能够检测各种已知的rootkit特征码以外，还支持端口扫描、常用程序文件的变动情况检查。rkhunter的官方网站位于，目前最新的版本是rkhunter-1.3.8。

##############################################################################

系统环境：
    RHEL 6.1 [2.6.32-131.0.15.el6.i686]

软件环境：
    rkhunter-1.3.8.tar.gz

##############################################################################

一、安装rkhunter
[root@localhost ~]# tar zxf rkhunter-1.3.8.tar.gz
[root@localhost ~]# cd rkhunter-1.3.8/
[root@localhost rkhunter-1.3.8]# ./install.sh --install

二、建立校对样本
    在系统处于“干净”状态时进行，覆盖基本的系统程序，作为文件比对依据。

[root@localhost ~]# rkhunter --propupd
[Rootkit Hunter version 1.3.8]
File created:searched for 165 files, found 136

[root@localhost ~]# ls /var/lib/rkhunter/db/rkhunter.dat
/var/lib/rkhunter/db/rkhunter.dat

三、使用rkhunter检查系统

[root@localhost ~]# rkhunter --check
[Rootkit Hunter version 1.3.8]
Checking system commands ...
Performing 'strings' command checks
    Checking 'strings' command                    [OK]
......
Performing file properties checks
    Checking for prerequisites                    [OK]
    /usr/local/bin/rkhunter                       [OK]
    /sbin/chkconfig                               [OK]
    /sbin/ifconfig                                [OK]
    /sbin/ifdown                                  [OK]
    /sbin/ifup                                    [OK]
    /usr/bin/GET                                  [OK]
    ......
Checking for rootkits...
Performing check of known rootkit files and directories
    55808 Trojan - Variant A                      [Not found]
    ADM Worm                                      [Not found]
    AjaKit Rootkit                                [Not found]
    Adore Rootkit                                 [Not found]
    aPa Kit                                       [Not found]
    Apache Worm                                   [Not found]
Checking the local host...
Performing system boot checks
    Checking for local host name                  [Found]
    Checking for system startup files             [Found]
    Checking system startup files for malware     [None found]
......

三、升级rkhunter样本库

[root@localhost ~]# rkhunter --update

##############################################################################

阅读(2527) | 评论(0) | 转发(0) |

上一篇：配置Apache的HTTPS访问支持

下一篇：搭建Nginx+MySQL+PHP网站平台

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6