locally checks for signs of a rootkit对本地检查一个rootkit的迹象

chkrootkit is a tool to locally check for signs of a . chkrootkit的是一个工具，在本地检查一个迹象。 It contains:其内容包括：

chkrootkit : shell script that checks system binaries for rootkit modification. chkrootkit的 ：shell脚本来检查修饰系统的rootkit二进制文件。
ifpromisc.c : checks if the interface is in promiscuous mode. ifpromisc.c：检查是否该接口处于混杂模式。
chklastlog.c : checks for lastlog deletions. chklastlog.c：删除检查的lastlog。
chkwtmp.c : checks for wtmp deletions. chkwtmp.c：删除wtmp的检查。
check_wtmpx.c : checks for wtmpx deletions. (Solaris only) check_wtmpx.c：删除检查wtmpx）。（仅适用于Solaris
chkproc.c : checks for signs of LKM trojans. chkproc.c：木马检查的LKM的迹象。
chkdirs.c : checks for signs of LKM trojans. chkdirs.c：木马检查的LKM的迹象。
strings.c : quick and dirty strings replacement. strings.c：快速和肮脏的字符串替换。
chkutmp.c : checks for utmp deletions. chkutmp.c：删除检查utmp的。

Chkrootkit is listed in the " Top 100 Network Security Tools " survey, 2006 edition, released by Insecure.Org . chkrootkit的是列在“ “调查，2006年版的发布， Insecure.Org 。 We would like to thank all people who voted for chkrootkit as their favourite tool!我们要感谢所有的人谁工具chkrootkit的投票作为他们最喜欢的！

What's New最新消息

(Release Date: Thu Jul 30 2009) This version includes: （发布日期：星期四2009年7月30日）这个版本包括：

chkrootkit chkrootkit的
- new tests: Mac OS X OSX.RSPlug.A Trojan Horse新的测试：Mac OS X的OSX.RSPlug.A木马
- more tests for suspicious sniffer logs嗅探可疑更多测试记录
- more tests for suspicious PHP files对可疑的PHP文件进行更多的测试
- more tests for shell history file anomalies历史文件的外壳进行更多的测试异常
- minor bug fixes小错误修正
chkdirs.c chkdirs.c
- minor bug fixes小错误修正
chkproc.c chkproc.c
- minor bug fixes小错误修正
chkutmp.c chkutmp.c
- bug fix by Michael Schwendt迈克尔Schwendt错误修复

Tests performed and rootkits detected进行的测试和Rootkit检测

The following tests are made:做以下测试：

aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp OSX_RSPLUG amd basename biff chfn chsh cron crontab date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write 外国人的ASP bindshell LKM的rexedcs嗅探器w55808 wted黄牛搭接z2 chkutmp OSX_RSPLUG AMD公司的basename击chfn chsh crontab中的cron目录名称日期杜egrep的包膜回声发现的fingerd gpm的grep的hdparm的苏ifconfig的inetd的inetdconf identd的初始化killall会ldsopreload登录ls的lsof的邮件名为passwd中的mingetty netstat命令的POP3的pidof pop2聚苯乙烯pstree rpcinfo rlogind rshd s登录sendmail的sshd的syslogd的焦油tcpd的tcpdump的顶部telnetd的定时跟踪路由vdir W写入

The following rootkits, worms and LKMs are currently detected:下面的rootkit，蠕虫和LKM的，目前发现：

01. 01。 lrk3, lrk4, lrk5, lrk6 (and variants); lrk3，lrk4，lrk5，lrk6（及变种）;	02. 02。 Solaris rootkit; Solaris的rootkit的;	03. 03。 FreeBSD rootkit; FreeBSD的rootkit的;
04. 04。 t0rn (and variants); t0rn（及变种）;	05. 05。 Ambient's Rootkit (ARK);环境的rootkit（方舟）;	06. 06。 Ramen Worm;拉面蠕虫;
07. 07。 rh[67]-shaper;相对湿度[67] -成型机;	08. 08。 RSHA; RSHA;	09. 09。 Romanian rootkit;罗马尼亚的rootkit;
10. 10。 RK17; RK17;	11. 11。 Lion Worm;狮子蠕虫;	12. 12。 Adore Worm;崇拜蠕虫;
13. 13。 LPD Worm; LPD的蠕虫;	14. 14。 kenny-rk;肯尼- Rk的;	15. 15。 Adore LKM; LKM的崇拜;
16. 16。 ShitC Worm; ShitC蠕虫;	17. 17。 Omega Worm;欧米茄蠕虫;	18. 18。 Wormkit Worm; Wormkit蠕虫;
19. 19。 Maniac-RK;颠狂- Rk的;	20. 20。 dsc-rootkit;数码相机- rootkit的;	21. 21。 Ducoci rootkit; Ducoci的rootkit;
22. 22。 xc Worm;越野蠕虫;	23. 23。 RST.b trojan; RST.b木马;	24. 24。 duarawkz; duarawkz;
25. 25。 knark LKM; knark LKM的;	26. 26。 Monkit; Monkit;	27. 27。 Hidrootkit; Hidrootkit;
28. 28。 Bobkit; Bobkit;	29. 29。 Pizdakit; Pizdakit;	30. 30。 t0rn v8.0; t0rn 8.0;
31. 31。 Showtee; Showtee;	32. 32。 Optickit; Optickit;	33. 33。 TRK;蒂尔克;
34. 34。 MithRa's Rootkit;密特拉的rootkit;	35. 35。 George;乔治;	36. 36。 SucKIT; SucKIT;
37. 37。 Scalper;黄牛;	38. 38。 Slapper A, B, C and D;冲击片的A，B，C和D组;	39. 39。 OpenBSD rk v1; OpenBSD的Rk的v1的;
40. 40。 Illogic rootkit;不合逻辑的rootkit;	41. 41。 SK rootkit.水库的rootkit。	42. 42。 sebek LKM; Sebek的LKM的;
43. 43。 Romanian rootkit;罗马尼亚的rootkit;	44. 44。 LOC rootkit;组委会的rootkit;	45. 45。 shv4 rootkit; shv4的rootkit;
46. 46。 Aquatica rootkit; rootkit的水生;	47. 47。 ZK rootkit; ZK的rootkit的;	48. 48。 55808.A Worm; 55808.A蠕虫;
49. 49。 TC2 Worm; TC2模型蠕虫;	50. 50。 Volc rootkit; Volc的rootkit;	51. 51。 Gold2 rootkit; Gold2的rootkit;
52. 52。 Anonoying rootkit; Anonoying的rootkit;	53. 53。 Shkit rootkit; Shkit的rootkit;	54. 54。 AjaKit rootkit; AjaKit的rootkit;
55. 55。 zaRwT rootkit; zaRwT的rootkit;	56. 56。 Madalin rootkit; Madalin的rootkit;	57. 57。 Fu rootkit;富的rootkit;
58. 58。 Kenga3 rootkit; Kenga3的rootkit;	59. 59。 ESRK rootkit; ESRK的rootkit;	60. 60。 rootedoor rootkit; rootedoor的rootkit;
61. 61。 Enye LKM; Enye LKM的;	62. 62。 Lupper.Worm; Lupper.Worm;	63. 63。 shv5; shv5;
64. 64。 OSX.RSPlug.A; OSX.RSPlug.A;

chkrootkit has been tested on: Linux 2.0.x, 2.2.x, 2.4.x and 2.6.x, FreeBSD 2.2.x, 3.x, 4.x, 5.x and 7.x, OpenBSD 2.x, 3.x and 4.x., NetBSD 1.6.x, Solaris 2.5.1, 2.6, 8.0 and 9.0, HP-UX 11, Tru64, BSDI and Mac OS X. chkrootkit的进行了测试：Linux的2.0.x版本，为2.2.x，2.4.x和的2.6.x，FreeBSD的为2.2.x，3.x 中，4.x中，5.x和7.x版的OpenBSD 2.x中，3 。x和4.x版本，NetBSD的1.6.x版，Solaris的2.5.1，2.6，8.0和9.0的HP - UX 11，Tru64，BSDI和Mac OS X的

More details can be found on the chkrootkit's .更多详情，可上chkrootkit的的。

Mailing List邮件列表

To subscribe:要订阅：

echo "subscribe users your email" | mail majordomo@chkrootkit.org回声“订阅用户的电子邮件”|邮箱majordomo@chkrootkit.org

The is located at The Mailing list ARChives ( ).该位于邮件列表归档（）。

Contacting the Authors论文作者联系

Please send comments, new rootkits, questions and bug reports to (main author) and (co-author).请将意见，新的rootkit，问题和错误报告（主要作者）和（合着）。

阅读(1477) | 评论(0) | 转发(0) |

上一篇：系统检测之tripwire安装使用

下一篇：看不见的入侵者：在实践中的rootkit

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6