rootkit后门检测工具rkhunter
rootkit后门检测工具RKHunter
1、关于rootkit
rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。
rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。
rootkit主要有两种类型:文件级别和内核级别。
文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。
通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统危害很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwire、aide等。
内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。
内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。以防范为主。一般系统镜像要从官网或可信度高的网站下载镜像。
2、关于RKHunter:
rootkit后门检测工具RKHunter,它通过一系列脚本来确认服务器是否已经感染rootkit,主要执行以下测试:
1)、MD5校验测试, 检测文件是否被改动。
2)、检测rootkits使用的二进制和系统工具文件。
3)、检测特洛伊木马程序的特征码。
4)、检测常用程序的文件异常属性。
5)、检测系统相关。如:启动文件、系统用户和组配置、ssh配置、文件系统等。
6)、检测隐藏文件、/etc/rc.d/目录下的所有配置文件、日志文件等。
7)、检测Linux内核监控模块:驱动模块(LKM)。
8)、检测系统已经启动的监听端口:扫描任何混杂模式下的接口和后门程序常用的端口。
9)、检测应用程序版本,如: Apache Web Server, Procmail等。
10)、检测网络。
3、编译安装rkhunter
1)、安装编译环境
[root@node1 ~]# yum -y install gcc gcc-c++ make cmake glibc-static glibc-utils
[root@node1 ~]# rz
[root@node1 ~]# ls
rkhunter-1.4.6.tar.gz
2)、解压编译安装:建议官方站点下载源码
[root@node1 ~]# tar zxvf rkhunter-1.4.6.tar.gz -C /usr/local/
[root@node1 ~]# cd /usr/local/rkhunter-1.4.6/
[root@node1 rkhunter-1.4.6]# ls
files installer.sh
[root@node1 rkhunter-1.4.6]# ./installer.sh --layout default --install
3)、安装后可执行文件为:
[root@node1 ~]# cd /usr/local/bin/
[root@node1 bin]# ls
rkhunter
4)、查看使用帮助:
[root@node1 ~]# rkhunter -h
Usage: rkhunter {--check | --unlock | --update | --versioncheck |
--propupd [{filename | directory | package name},...] |
--list [{tests | {lang | languages} | rootkits | perl | propfiles}] |
--config-check | --version | --help} [options]
4、rkhunter的使用接检测输出信息说明
运行rkhunter检查系统
[root@node1 ~]# rkhunter -c
[ Rootkit Hunter version 1.4.6 ]
#第一部分:检测系统命令,主要检测系统的二进制文件,这些文件最容易被rootkit攻击;
#[ OK ]表示正常,[ Warning ]表示有异常,[ None found ]未找到
Checking system commands... -->检测系统命令
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
Performing file properties checks
Checking for prerequisites [ Warning ]
/usr/local/bin/rkhunter [ OK ]
...
/usr/bin/echo [ OK ]
/usr/bin/egrep [ Warning ]
/usr/bin/env [ OK ]
/usr/bin/fgrep [ Warning ]
...
/usr/bin/gawk [ OK ]
/usr/lib/systemd/systemd [ OK ]
/etc/rkhunter.conf [ OK ]
[Press <ENTER> to continue]
Checking for rootkits...
#第二部分:检测rootkit,主要检测常见的rootkit程序;
#[ Not found ]表示未感染
Performing check of known rootkit files and directories
55808 Trojan - Variant A [ Not found ]
ADM Worm [ Not found ]
...
Xzibit Rootkit [ Not found ]
zaRwT.KiT Rootkit [ Not found ]
ZK Rootkit [ Not found ]
[Press <ENTER> to continue]
#第三部分:特殊或附加检测:对rootkit文件或目录检测、对恶意软件检测、对指定内核检测等
Performing additional rootkit checks
Suckit Rootkit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]
Performing malware checks
Checking running processes for suspicious files [ Skipped ]
Checking for login backdoors [ None found ]
Checking for sniffer log files [ None found ]
Checking for suspicious directories [ None found ]
Checking for suspicious (large) shared memory segments [ None found ]
Checking for Apache backdoor [ Not found ]
Performing Linux specific checks
Checking loaded kernel modules [ OK ]
Checking kernel module names [ OK ]
[Press <ENTER> to continue]
#第四部分:检测网络、系统端口、系统启动文件、系统用户和组配置、ssh配置、文件系统等
Checking the network...
Performing checks on the network ports -->网络端口
Checking for backdoor ports [ None found ]
Performing checks on the network interfaces -->网络接口
Checking for promiscuous interfaces [ None found ]
Checking the local host...
Performing system boot checks -->系统启动文件
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]
Performing group and account checks -->组和账户
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ OK ]
Performing system configuration file checks -->配置文件
Checking for an SSH configuration file [ Found ]
Checking if SSH root access is allowed [ Warning ]
Checking if SSH protocol v1 is allowed [ Warning ]
Checking for other suspicious configuration settings [ None found ]
Checking for a running system logging daemon [ Found ]
Checking for a system logging configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]
Performing filesystem checks -->文件系统
Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]
[Press <ENTER> to continue]
#第五部分:应用程序版本检测
System checks summary
=====================
#第六部分:总结服务器目前的安全状态
File properties checks...
Required commands check failed
Files checked: 127
Suspect files: 5
Rootkit checks...
Rootkits checked : 440
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 1 minute and 44 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
5、rkhunter其它用法:自动自行、定向任务执行等
自动执行程序:
[root@node1 ~]# rkhunter --check --skip-keypress
加入定时任务
[root@node1 ~]# crontab -e
10 03 * * * /usr/local/bin/rkhunter --check --skip-keypress >/home/field/check_rkhunter/chk.txt
[root@node1 ~]# ll /home/field/check_rkhunter/chk.txt
-rw-r--r-- 1 root root 10397 8月 8 03:12 /home/field/check_rkhunter/chk.txt
rootkit后门检测工具rkhunter相关推荐
- rootkit后门检测工具
1. 关于rootkit rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发 ...
- linux的rootkit工具包,Linux下rootkit后门检测工具chkrootkit
一.安装编译工具包 yum install gcc gcc-c++ make yum install glibc-static 二.安装chkrootkit cd /usr/local/src/ wg ...
- linux后门入侵检测工具RKHUnter和ClamAV的使用
一.关于rootkit rookit是linux平台下最常见的一种木马后门工具,他主要通过替换系统文件来达到攻击和隐藏的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种 ...
- linux系统rootkit恶意软件安全检测工具rkhunter安装部署、使用详解
rkhunter简介: 中文名叫"Rootkit猎手", rkhunter是Linux系统平台下的一款开源***检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootki ...
- 常用网站木马文件后门检测工具
我们从网上下载web源码的时候有时会不小心下到带后门的程序,可以使用以下介绍的几款Webshell查杀工具来检测一下,软件查后门需多方对比,有能力请手动验证.资源来源于loc. 一.D盾_Web查杀 ...
- Linux后门入侵检测工具 rkhunter 安装使用
一.简介: Rkhunter的中文名叫"Rootkit猎手", 目前可以发现大多数已知的rootkits和一些嗅探器以及后门程序.它通过执行一系列的测试脚本来确认服务器是否已经感染 ...
- rootkit的检测工具使用(chkrootkit和rootkit hunter)
这两天突然发现我们的服务器产生大量DNS解析连线.为了查明问题,就下载网上找工具检查问题所在.用了两个工具,一个chkrootkit,另外一个rootkit huntur.在使用了这两个产品后,觉得r ...
- linux 系统后门检测工具,Linux系统的各种后门和日志工具详细介绍[2]
chfn 提升本地普通用户权限的程序 运行chfn 在它提示输入新的用户名时 如果用户输入rookit密码 他的权限就被提升为root chsh 提升本地用户权限的程序 运行chsh 在它提示输入新的 ...
- php后门检测工具,phpStudy后门如何检测和修复
背景 一篇<Phpstudy官网于2016年被入*,犯罪分子篡改软件并植入后门>让人触目惊心,从官网的下载官方安装包也会有问题,由此可想而知目前已经有多少网站已经沦陷.接到消息的第一时间, ...
- 安全运维之:Linux后门入侵检测工具的使用
推荐:10年技术力作:<高性能Linux服务器构建实战Ⅱ>全网发行,附试读章节和全书实例源码下载! 一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要 ...
最新文章
- Swift - 访问通讯录联系人(使用系统提供的通讯录交互界面)
- InnoDB memcached插件部署
- 非存储过程分页- 前台分页样式和控件
- SynchronizedMap和ConcurrentHashMap的深入分析
- 不装.net Framework 也能运行WinForm程序,用飞信(转)
- java plug机制_【maven实战】20-插件解析机制
- java B2B2C 仿淘宝电子商城系统-eureka 基础
- Python程序员每天必做的几个动作
- tomcat-maven-plugin 插件使用
- [leetcode] 65. 有效数字
- 二、Linux 教程-基础命令(1~180未完)
- IEEE802.15.4、ZigBee、ZigBee协议栈、Zstack、ZigBee联盟、CC2530、IAR的关系?
- NXP S32K1 Timer之LPIT模块Driver分析
- JQuery 属性操作 - attr() 方法
- matlab单字音频合成,基于MATLAB的音频解析与合成
- JavaScript js 实现拖动窗口移动功能
- 关键词词云怎么做_做关键词分析,我有4款免费词云工具
- Spring Boot使用qq邮箱实现验证码发送
- oracle括号不区分中英,oracle查询不含括号及不含指定字符的方法
- PCB布局、布线总结(持续进行中。。。。。。)