介绍linux上两种rootkits检测工具: Rootkit Hunter和Chkrootkit
本文主要介绍linux上检测rootkit的两种工具: Rootkit Hunter和Chkrootkit. Rootkit Hunter 中文名叫”Rootkit猎手”, 可以发现大约58个已知的rootkits和一些嗅探器和后门程序. 它通过执行一系列的测试脚本来确认你的机器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核模块等等. Rootkit Hunter由Michael Boelen开发, 是开源(GPL)软件.
图: Rootkit Hunter正在检测linux机器上的rootkits. 成功安装后, 你可以通过运行下面命令来检测你的机器是否已感染rootkit: # rkhunter -c 二进制可执行文件rkhunter被安装到/usr/local/bin目录, 你需要以root身份来运行该程序. 程序运行后, 它主要执行下面一系列的测试: 1. MD5校验测试, 检测任何文件是否改动. 完成上面检测后, 你的屏幕会显示扫描结果: 可能被感染的文件, 不正确的MD5校验文件和已被感染的应用程序.
图: 另外的屏幕快照, rootkit hunter正在执行一系列的测试. 在我的机器上, 扫描用了175秒. 缺省情况下, rkhunter对系统进行已知的一些检测. 但是你也可以通过使用’–scan-knownbad-files’来执行未知的错误检测: # rkhunter -c –scan-knownbad-files rkhunter是通过一个含有rootkit名字的数据库来检测系统的rootkits漏洞, 经常更新该数据库非常重要, 你可以通过下面命令来更新该数据库: # rkhunter –update 当然最好是通过cron job定期执行上面的命令, 你需要用root用户添加下面命令到crontab文件: 59 23 1 * * echo “Rkhunter update check in progress”;/usr/local/bin/rkhunter –update 上面一行告诉cron程序在每月第一天的下午11:59分执行rkhunter数据库更新工作, 你的root用户会收到一封结果通知邮件. Chkrootkit Chkrootkit由Nelson Murilo和Klaus Steding Jessen开发. 与Rootkit Hunter程序不同的是, chrootkit不需要installer安装程序, 你只需解开软件包后执行chrootkit即可, 然后将对一些二进制文件进行一系列的测试, 除了与Rootkit Hunter相同的测试外, Chkrootkit还对一些重要的二进制文件进行检测, 比如搜索入侵者已更改日志文件的特征信息等等. , 如果你想列出已经测试的所有项目, 你可以运行带有’-l’参数的命令: # chkrootkit -l 在测试过程中, 如果你想在屏幕上看到更多有用的信息, 执行下面命令: # chkrootkit -x chkrootkit将在专家模式(expert mode)运行. 在Linux上组合使用Rootkit Hunter和Chkrootkit工具是检测rootkis不错的办法. 参考:
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |