LINUX下rootkit木马侦测文档
#######################################################################
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.3.8/rkhunter-1.3.8.tar.gz
tar zvfx rkhunter-1.3.8.tar.gz
cd rkhunter-1.3.8
./installer.sh --install
./installer.sh --show
注释:
./installer.sh --install 是用来安装程序
./installer.sh --show 是用来显示安装后的程序路径
[root@master rkhunter-1.3.8]# ./installer.sh --show
Install into: /usr/local
Application: /usr/local/bin
Configuration file: /etc
Documents: /usr/local/share/doc/rkhunter-1.3.8
Man page: /usr/local/share/man/man8
Scripts: /usr/local/lib/rkhunter/scripts
Databases: /var/lib/rkhunter/db
Temporary files: /var/lib/rkhunter/tmp
#系统检查
/usr/local/bin/rkhunter --checkall
[root@test root]# /usr/local/bin/rkhunter --help
--checkall (-c) #全系统检查
--createlogfile #建立登陆档一般是在 /var/log/rkhunter.log
--cronjob #可以使用 crontab来执行,不会有颜色显示
--report-warnings-only #仅列出警告,正常信息不列出
--skip-application-check #忽略套件版本检测 (如果您已经确定系统的套件已patch)
--skip-keypress #忽略按键后的举动(程式会自动执行)
--quiet #仅列出有问题的信息,比 --report-warnings-only更少信息
--versioncheck #检测是否有新的版本
rkhunter --update #检查更新
rkhunter --versioncheck #检查版本
/usr/local/bin/rkhunter --checkall --skip-keypress #避免每次都去敲击Enter键
拥有帝国一切,皆有可能。欢迎访问phome.net
10 3 * * * root /usr/local/bin/rkhunter --checkall --cronjob #自动执行脚本;
binary file #二进制文件
是一个 能够提前被程序或硬件处理器识别从而知道其存储形式的文件.也就是说,文件不能用外部才能识别的文件格式存储,
以便任何程序都可以随时读取其中任何位置的内容.一个程序(或处理器)能够清楚知道文件内部数据的布局,这样才能使
用这些文件.总的来说,可执行程序通常被认作是二进制文件,并被系统赋予一个.bin的后缀.程序员通常也将可执行文件指代
为"二进制"文件.在传输文件的过程中,一个文件也能够以"二进制"的形式传输,这意味着相关的处理程序并不尝试读取文件内
部的内容,而只是按照"0"和"1"的顺序传输数据,任何网络设备都无法知道这些数字具体的意思.
如果遇到此类的攻击,最好的办法就是重装系统.
本文出自 “jesse's blog” 博客,请务必保留此出处http://51centos.blog.51cto.com/3349384/618458
拥有帝国一切,皆有可能。欢迎访问phome.net |
