一:概念
Rootkit:Linux、Windows、Mac OS等作業系統都有機會成為Rootkit的受害目标,rootkit是攻擊者用來隐藏自己的蹤迹和保留root通路權限的工具。如果有相應的權限進入系統後,他還沒有獲得root權限,再通過某些安全漏洞獲得系統的root權限。他通過rootkit的後門檢查系統是否有其他的使用者登入,如果隻有自己,攻擊者就開始着手清理日志中資訊。用rootkit的嗅探器獲得其它系統的使用者和密碼之後,攻擊者就會利用這些資訊侵入系統了。
Rootkit Hunter:簡單的說下,linux下的防毒軟體,但是隻具有檢測功能,不具備殺毒功能。得手動進行清除。
二:Rootkit Hunter的功能
1》檢測系統重要的文檔的MD5碼,保證檔案的完整性。
自身的MD5碼與官方的MD5碼進行比對,一樣的話就沒有被攻擊。和我們平常下載下傳遊戲的時候見到的官網出示的MD5碼一樣,如果下載下傳之後不一樣,你打開它幹嘛?說哈哈終于我中木馬了。。。
2》檢測易受攻擊的檔案
因為Rootkit為了達到效果取得系統的控制權限,他們會主動更改一些文檔,最重要的是一些特别重要的文檔。是以,你進行Hunter的檢測這些文檔,就可以發現有麼被Rootkit攻擊
3》檢測隐藏檔案
我們知道linux的隐藏檔案都是在名稱前面加一個“.”攻擊者可以通過這些隐藏文見來隐藏他的主程式,同樣使用Hunter可以分析進行查找
4》檢測重要檔案的權限
大家知道一些重要的檔案權限,如;/bin/ls具有755權限,而許多木馬程式做了更改之後會成為777的權限,從中可以判斷是不是有問題
5》檢測核心子產品
linux的核心功能具有LKM性(Loadable Kernel Module)系統做什麼由其系統決定。。。
6》檢測系統端口号
7》檢測木馬常攻擊的檔案
一些特定的木馬或後門,會在系統上建立一個特殊的文檔,這些文檔名是不變的。。。
三:下載下傳Rootkit Hunter位址
http://cdnetworks-kr-2.dl.sourceforge.net/project/rkhunter/rkhunter/1.3.8/rkhunter-1.3.8.tar.gz
四:安裝程式
五:使用
安裝後就可以向系統指令一樣,可以直接運作rkhunter --checkall
我來說說前面說地要檢測的五部分
第一部分:檢測重要檔案的MD5碼
第二部分:檢測常見rootkit攻擊檔案和目錄
第三部分:檢測常見木馬端口
第四部分:檢測本機資訊
第五部分:檢測安全套件
總結資訊
為了友善我們可以進行無人值守(就是不用去手工的敲回車了)進行如下指令就可