本文主要介紹linux上檢測rootkit的兩種工具: Rootkit Hunter和Chkrootkit.
Rootkit Hunter
安裝Rootkit Hunter非常簡單, 從網站下載下傳軟體包, 解壓, 然後以root使用者身份運作installer.sh腳本.
<a href="http://blog.zhaoke.com/data/2006/1219/root1lg.png"></a>
圖: Rootkit Hunter正在檢測linux機器上的rootkits.
成功安裝後, 你可以通過運作下面指令來檢測你的機器是否已感染rootkit:
# rkhunter -c
二進制可執行檔案rkhunter被安裝到/usr/local/bin目錄, 你需要以root身份來運作該程式. 程式運作後, 它主要執行下面一系列的測試:
1. MD5校驗測試, 檢測任何檔案是否改動.
2. 檢測rootkits使用的二進制和系統工具檔案.
3. 檢測特洛伊木馬程式的特征碼.
4. 檢測大多常用程式的檔案異常屬性.
5. 執行一些系統相關的測試 - 因為rootkit hunter可支援多個系統平台.
6. 掃描任何混雜模式下的接口和後門程式常用的端口.
7. 檢測如/etc/rc.d/目錄下的所有配置檔案, 日志檔案, 任何異常的隐藏檔案等等. 例如, 在檢測/dev/.udev和/etc/.pwd.lock檔案時候, 我的系統被警告.
8. 對一些使用常用端口的應用程式進行版本測試. 如: Apache Web Server, Procmail等.
完成上面檢測後, 你的螢幕會顯示掃描結果: 可能被感染的檔案, 不正确的MD5校驗檔案和已被感染的應用程式.
<a href="http://blog.zhaoke.com/data/2006/1219/root2lg.png"></a>
圖: 另外的螢幕快照, rootkit hunter正在執行一系列的測試.
在我的機器上, 掃描用了175秒. 預設情況下, rkhunter對系統進行已知的一些檢測. 但是你也可以通過使用’–scan-knownbad-files’來執行未知的錯誤檢測:
# rkhunter -c –scan-knownbad-files
rkhunter是通過一個含有rootkit名字的資料庫來檢測系統的rootkits漏洞, 是以經常更新該資料庫非常重要, 你可以通過下面指令來更新該資料庫:
# rkhunter –update
當然最好是通過cron job定期執行上面的指令, 你需要用root使用者添加下面指令到crontab檔案:
59 23 1 * * echo “Rkhunter update check in progress”;/usr/local/bin/rkhunter –update
上面一行告訴cron程式在每月第一天的下午11:59分執行rkhunter資料庫更新工作, 而且你的root使用者會收到一封結果通知郵件.
Chkrootkit
# chkrootkit -l
在測試過程中, 如果你想在螢幕上看到更多有用的資訊, 執行下面指令:
# chkrootkit -x
chkrootkit将在專家模式(expert mode)運作.
在Linux上組合使用Rootkit Hunter和Chkrootkit工具是檢測rootkis不錯的辦法.
參考:
<a href="http://linuxhelp.blogspot.com/2006/12/various-ways-of-detecting-rootkits-in.html">Various ways of detecting rootkits in GNU/Linux</a>
備注:
轉載請保持文章完整性, 歡迎交流.
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)