本文主要介绍linux上检测rootkit的两种工具:RootkitHunter和Chkrootkit.

　　RootkitHunter
　　中文名叫”Rootkit猎手”,可以发现大约58个已知的rootkits和一些嗅探器和后门程序.它通过执行一系列的测试脚本来确认你的机器是否已经感染rootkits.比如检查rootkits使用的基本文件,可执行二进制文件的错误文件权限,检测内核模块等等.RootkitHunter由MichaelBoelen开发,是开源(GPL)软件.

　　安装RootkitHunter非常简单,从网站下载软件包,解压,然后以root用户身份运行installer.sh脚本shinstaller.sh.

　　成功安装后,你可以通过运行下面命令来检测你的机器是否已感染rootkit:

　　#rkhunter-c

　　二进制可执行文件rkhunter被安装到/usr/local/bin目录,你需要以root身份来运行该程序.程序运行后,它主要执行下面一系列的测试:

　　1.MD5校验测试,检测任何文件是否改动.
　　2.检测rootkits使用的二进制和系统工具文件.
　　3.检测特洛伊木马程序的特征码.
　　4.检测大多常用程序的文件异常属性.
　　5.执行一些系统相关的测试-因为rootkithunter可支持多个系统平台.
　　6.扫描任何混杂模式下的接口和后门程序常用的端口.
　　7.检测如/etc/rc.d/目录下的所有配置文件,日志文件,任何异常的隐藏文件等等.例如,在检测/dev/.udev和/etc/.pwd.lock文件时候,我的系统被警告.
　　8.对一些使用常用端口的应用程序进行版本测试.如:ApacheWebServer,Procmail等.

　　完成上面检测后,你的屏幕会显示扫描结果:可能被感染的文件,不正确的MD5校验文件和已被感染的应用程序.

　　在我的机器上,扫描用了175秒.缺省情况下,rkhunter对系统进行已知的一些检测.但是你也可以通过使用’–scan-knownbad-files’来执行未知的错误检测:

　　#rkhunter-c–scan-knownbad-files

　　rkhunter是通过一个含有rootkit名字的数据库来检测系统的rootkits漏洞,所以经常更新该数据库非常重要,你可以通过下面命令来更新该数据库:

　　#rkhunter–update

　　当然最好是通过cronjob定期执行上面的命令,你需要用root用户添加下面命令到crontab文件:

　　59231**echo“Rkhunterupdatecheckinprogress”;/usr/local/bin/rkhunter–update

　　上面一行告诉cron程序在每月第一天的下午11:59分执行rkhunter数据库更新工作,而且你的root用户会收到一封结果通知邮件.


　　Chkrootkit
　　Chkrootkit由NelsonMurilo和KlausStedingJessen开发.与RootkitHunter程序不同的是,chrootkit不需要installer安装程序,你只需解开软件包后执行chrootkit即可,然后将对一些二进制文件进行一系列的测试,除了与RootkitHunter相同的测试外,Chkrootkit还对一些重要的二进制文件进行检测,比如搜索入侵者已更改日志文件的特征信息等等.而且,如果你想列出已经测试的所有项目,你可以运行带有’-l’参数的命令:

　　#chkrootkit-l

　　在测试过程中,如果你想在屏幕上看到更多有用的信息,执行下面命令:

　　#chkrootkit-x

　　chkrootkit将在专家模式(expertmode)运行.

　　在Linux上组合使用RootkitHunter和Chkrootkit工具是检测rootkis不错的办法.

输入您的搜索字词 提交搜索表单