rootkit后门检测工具

Linux运维 2019-12-03 48 次浏览 次点赞

1、编译安装chkrookit
yum -y install gcc gcc-c++ make cmake glibc-static glibc-utils
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz #下载软件包
tar zxvf chkrootkit.tar.gz
make sense
#注意,此处为make sense
2、chkrookit的使用
1)Usage: ./chkrootkit [options] [test ...]
Options:

-h 显示帮助信息

-V 显示版本信息

-l 显示测试内容

-d debug模式,显示检测过程的相关指令程序

-q 安静模式,只显示有问题部分,

-x 高级模式,显示所有检测结果

-r dir 设定指定的目录为根目录

-p dir1:dir2:dirN 检测指定目录

-n 跳过NFS连接的目录

2)检测:直接执行chkrootkit命令即可检测系统
./chkrootkit |grep INFECTED
3)指定使用备份的系统工具检测:
-p 指定通过哪个检测路径检测
chkrootkit -p /usr/bin/
chkrootkit -p /usr/share/ | grep INFECTED

#备份chkrootkit使用的系统命令
chkrootkit在检测rootkit时使用部分系统命令,如果系统被入侵,那么依赖的系统命令也可能已经被入侵者替换,从而导 
致检测结果不可信。
所以在服务器对外开放前,建议事先备份chkrootkit使用的系统命令,在chkrootkit做系统检测时使用备份的原始系统命 
令对rootkit进行检测可以保证结果可信度。

#复制系统命令
cp `which ssh awk cut echo find egrep id head ls netstat ps strings sed uname` ./commands

#压缩检测用到的系统工具并备份到安全目录
tar zcvf commands.tar.gz ./commands
sz commands.tar.gz # 下载到本机
rm -rf commands.tar.gz

本文由 laowang 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

还不快抢沙发

添加新评论