一 、 前面說了一個rootkit後門檢測工具--chkrootkit,現在再介紹一個後門檢測工具,它叫RKHunter!
沒什麼奇怪的,就像微信和QQ,都是一種聊天工具而已!而chkrootkit和RKHunter都是檢測rootkit的一種工具!
RKHunter 可以做的事情很多,從官方網站上看,主要有下面幾種:
1. MD5檢測,檢測檔案是否改動過
2.檢測rootkit使用的二進制和系統工具檔案
3.檢測特洛伊木馬程式的特征碼
4.檢測隐藏檔案
5.檢測系統相關的測試
6.檢測常用程式的檔案屬性是否異常
7.檢測可疑的核心子產品LKM
8.檢測系統已啟動的監聽端口wo
二、 RKHunter的安裝和使用都非常簡單
1.從官方網站下載下傳RKHunter ---http://www.rootkit.nl/projects/rootkit_hunter.html
2.我下載下傳的是rkhunter-1.4.2.tar.gz
安裝:
# tar -zxvf rkhunter-1.4.2.tar.gz
#cd rkhunter-1.4.2
# ./installer.sh --layout default --install //這句話的意思是采取RKHunter的預設安裝,rkhunter預設安裝到/usr/local/bin底下。
目前為止,安裝完了,是的,就這麼簡單,安裝完了。
用法:
# /usr/local/bin/rkhunter -c //-c是檢查目前系統,檢查的第一部分會進行系統指令檢查,主要檢查系統的二進制檔案,因為這些檔案最容易被rrootkit攻擊,顯示OK字樣的話,就正常。顯示“Not found”,也不用管它,但是如果顯示“Warning ”,你就需要注意了。
第2部分會檢查常見的rootkit程式,顯示“Not found”就表示系統沒有感染rootkit.
第3部分是對一些特殊或附加條件的檢查,例如對rootkit檔案或目錄檢測,對惡意軟體或者指定的核心子產品檢測等。
第4部分是對網絡,系統端口,系統啟動檔案,系統使用者,組配置,SSH配置,檔案系統進行檢查
第5部分是對應用程式版本進行檢測
第6部分是對上面輸出的一個總結,通過這個總結,可以大概了解伺服器目錄的安全狀态
現在就算檢查完了!
在LINUX上面用RKHunter檢查有一個很大的好處,就是檢測結果用顔色來表示,綠色就沒問題,紅色就是有問題。需要好好注意!這就像過馬路,綠色就是通行,紅色就是停止!
----------------------------------------------------------------------------------------------------------
在每部分檢查完,需要按enter來繼續,如果不想按enter,那就執行下面這條指令:
#/usr/local/bin/rkhunter --check --skip-keypress
同時,如果想讓程式每天自動運作,就可以在/etc/crontab中加入如下内容:
09 3 * * * root /usr/local/bin/rkhunter --check --cronjob
這樣,RKHunter就會每天的9:30自動運作。
剛裝完的伺服器,還沒有聯網,我就用RKHunter檢查了一下,預設有以下是紅色 :
系統是:Linux localhost.localdomain 2.6.32-358.el6.x86_64 #1 SMP Tue Jan 29 11:47:41 EST 2013 x86_64 x86_64 x86_64 GNU/Linux
就是以上這些!紅色的部分預設讓51CTO.COM給擋住了,上傳圖檔就預設擋住了。
-----------------------------------------------------------------------------------------------------
附:
rkhunter的常用參數:
-c : 必選參數,表示檢測目前系統
--configfile <file> :表示使用特定的配置檔案
--cronjob :作為cron任務定期運作
--sk,--skip-keypress :自動完成所有檢查,跳過鍵盤輸入
--summary :顯示檢測結果的統計資訊
--update :檢測更新内容
--V,--version : 顯示版本資訊
--versioncheck :檢測最新版本