linux下rootkit的检测 chkrootkit使用 Rootkit Hunter使用
2010-11-23 15:16
567 查看
http://hi.baidu.com/stream1990/blog/item/f4aa6d12c08f2cdff6039e64.html
linux下rootkit的检测 chkrootkit使用 Rootkit Hunter使用
linux下rootkit的检测 chkrootkit使用 Rootkit Hunter使用
在看DDRK简介的时候,看到他是通过替换系统文件来实现一些隐藏的,事实上很多rootkit都会这么做,于是, 找到了chkrootkit,一个linux下rootkit的检测工具。 一般, rootkit 中, 常见的木马程序及工具有: bindshell chfn chsh crontab du find fix ifconfig inetd killall linsniffer login ls netstat passwd pidof ps rshd sniffchk syslogd tcpd top wted z2 有兴趣有能力的自己看rootkit的实现原来什么的吧 chkrootkit的使用 1. 下载 wget http://www.ganyoo.com/api/chkrootkit.tar.gz 2. 解包 tar -zxvf chkrootkit.tar.gz 3. 安装 cd chkrootkit-0.49/ make sense 4. 使用 ./chkrootkit > stream.txt 5. 查看结果 cat stream.txt 如果没有显示“INFECTED”字样,而直接出现命令行提示符,说明一切OK! 下面是一个在rootkit下的rootkit检测,明显是发现了 再补充,转的 Rootkit Hunter 中文名叫”Rootkit猎手”, 可以发现大约58个已知的rootkits和一些嗅探器和后门程序. 它通过执行一系列的测试脚本来确认你的机器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核模块等等. Rootkit Hunter由Michael Boelen开发, 是开源(GPL)软件. 安装Rootkit Hunter非常简单, 从网站下载软件包, 解压, 然后以root用户身份运行installer.sh脚本. 成功安装后, 你可以通过运行下面命令来检测你的机器是否已感染rootkit: # rkhunter -c 二进制可执行文件rkhunter被安装到/usr/local/bin目录, 你需要以root身份来运行该程序. 程序运行后, 它主要执行下面一系列的测试: 1. MD5校验测试, 检测任何文件是否改动. 2. 检测rootkits使用的二进制和系统工具文件. 3. 检测特洛伊木马程序的特征码. 4. 检测大多常用程序的文件异常属性. 5. 执行一些系统相关的测试 - 因为rootkit hunter可支持多个系统平台. 6. 扫描任何混杂模式下的接口和后门程序常用的端口. 7. 检测如/etc/rc.d/目录下的所有配置文件, 日志文件, 任何异常的隐藏文件等等. 例如, 在检测/dev/.udev和/etc/.pwd.lock文件时候, 我的系统被警告. 8. 对一些使用常用端口的应用程序进行版本测试. 如: Apache Web Server, Procmail等. 完成上面检测后, 你的屏幕会显示扫描结果: 可能被感染的文件, 不正确的MD5校验文件和已被感染的应用程序. 在我的机器上, 扫描用了175秒. 缺省情况下, rkhunter对系统进行已知的一些检测. 但是你也可以通过使用’–scan-knownbad-files’来执行未知的错误检测: # rkhunter -c –scan-knownbad-files rkhunter是通过一个含有rootkit名字的数据库来检测系统的rootkits漏洞, 所以经常更新该数据库非常重要, 你可以通过下面命令来更新该数据库: # rkhunter –update 当然最好是通过cron job定期执行上面的命令, 你需要用root用户添加下面命令到crontab文件: 59 23 1 * * echo “Rkhunter update check in progress”;/usr/local/bin/rkhunter –update 上面一行告诉cron程序在每月第一天的下午11:59分执行rkhunter数据库更新工作, 而且你的root用户会收到一封结果通知邮件. |
相关文章推荐
- Linux rootkit的检测工具使用(chkrootkit和rootkit hunter)
- rootkit的检测工具使用(chkrootkit和rootkit hunter)
- rootkit的检测工具使用(chkrootkit和rootkit hunter)
- rootkit的检测工具使用(chkrootkit和rootkit hunter)
- rootkit的检测工具使用(chkrootkit和rootkit hunter)
- 介绍linux上两种rootkits检测工具: Rootkit Hunter和Chkrootkit
- Linux下rootkit后门检测工具chkrootkit
- 介绍linux上两种rootkits检测工具: Rootkit Hunter和Chkrootkit
- linux上两种rootkits检测工具: Rootkit Hunter和Chkrootkit
- 介绍linux上两种rootkits检测工具: Rootkit Hunter和Chkrootkit
- Linux下使用UDP做心跳检测(断线检测)
- Linux安装MRTG检测CPU、网络、内存的使用情况
- Linux系统下怎样利用nc命令来监控检测服务器的端口使用情况
- Linux 内存检测工具valgrind使用手册(转)
- Linux系统检测工具sysstat使用实战
- 检测Linux内存使用情况的10个free…
- 使用K近邻算法检测Rootkit、WebShell
- 安全运维之:Linux后门入侵检测工具的使用
- Linux下检测网卡与网线连接状态,使用ioctl向socket发送SIOCETHTOOL命令字
- linux入侵检测工具chkrootkit