Rootkit介绍

Rootkit是一个特殊的恶意软件,它可隐藏自身以及指定的文件、进程、网络、链接、端口等信息。Rootkit可通过加载特殊的驱动修改系统内核,进而达到隐藏信息的目的。Rootkit的三要素就是:隐藏、操纵、收集数据。不同的操作系统会有不同的Rootkit,Linux系统中的Rootkit就被称为LinuxRootkit。

Rootkit具有隐身功能,无论静止时作为文件存在,还是活动时作为进程存在,都不会被察觉,它可能永远存在于计算机中。

功能

无论是那种形式的Rootkit,都需要实现以下功能:

1,远程指令执行

通过网络向Rootkit所驻留的系统发送指令,从而控制远程主机;

2,信息收集

收集系统的活动信息、网络上其它主机的数据信息等;

3,文件隐藏

把目标主机上的特定文件隐藏起来,使其不能通过常规方法查看到,这样就可以隐藏一部分系统被控制的痕迹;

4,进程隐藏

在控制目标主机或收集系统信息时会启动相关的进程,通过Rootkit可以实现对进程的隐藏;

5,网络连接隐藏

将网络连接的端口信息隐藏,利用netstat等工具无法显示隐藏的信息,这样就可以隐秘地向远端发送信息;

6,内核模块隐藏

将Rootkit自身在系统中安装的模块隐藏起来,提高自身生存能力。

Rkhunter介绍

Rkhunter可检测rootkit和一些嗅探器后门等程序,它通过执行一系列脚本来确认计算机是否已感染rootkit,检查rootkit使用的基本文件、可执行二进制文件的错误文件权限、以及内核模块检测等。地址为:http://rkhunter.sourceforge.net/

下载后我们先进行解压,如下图。

目录下有一个installer安装脚本,直接运行会给出相应的参数,如下图。

可以看到基本参数有展示版本信息、卸载、移除、展示等,而安装有一个layout布局参数,这个是必选参数,我们布局直接选择default默认即可,然后还需要跟一个install参数来安装已选择的布局,所以执行以下命令。

安装完后会发现安装目录并没有变化,这里注意的是安装完后其位置在usr/local/bin下,如下图。

以上是部分参数的截图,我们发现有一个c参数,其说明是检测本地系统,所以rkhunter用来检测系统的基本命令跟c参数即可,如下图。

上面紫色提示正在检测系统命令,当系统命令检测完毕后会提示按回车继续检测下一个模块,如下图。

所有项都检查完毕后,会给出一个结果,给出可疑文件数量,rookit数量等,以及扫描时间,及日志文件的位置,如下图。

下面列出了一些rkhunter的检查项:md5校验测试,检测文件是否被改动。检测rootkit使用的二进制和系统工具文件。检测特洛伊木马程序的特征码。检测大多数常用程序的文件异常属性。执行一些系统的相关测试。扫描混杂模式下接口和后门常用的端口。检测/etc/rc.d/目录下所有配置文件、日志文件、异常隐藏文件等。对常用端口应用程序进行版本测试等。

Rkhunter有一个数据库,它根据自身数据库来检测rootkit漏洞,所以经常更新数据库非常重要,通过-update参数更新即可。

总结

建议使用rkhunter和chkrootkit一起使用,使检测结果更全面、更准确。

                                                                      公众号推荐:aFa攻防实验室

分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。

使用rkhunter检测rootkit相关推荐

  1. 使用rkhunter检测Linux的rootkit

    转载来源 :使用rkhunter检测Linux的rootkit : https://www.jianshu.com/p/9a5fcd4b236b 介绍 rootkit是Linux平台下最常见的一种木马 ...

  2. rkhunter(rootkit检测)

    rkhunter MD5校验测试,检测文件是否有改动 检测rootkit使用的二进制和系统工具文件 检测特洛伊木马程序的特征码 检测常用程序的文件属性是否异常 检测系统相关的测试 检测隐藏文件 检测可 ...

  3. 使用chkrootkit检测rootkit

    Rootkit介绍 Rootkit是一个特殊的恶意软件,它可隐藏自身以及指定的文件.进程.网络.链接.端口等信息.Rootkit可通过加载特殊的驱动修改系统内核,进而达到隐藏信息的目的.Rootkit ...

  4. rkhunter(Rootkit猎手)安装使用

    一.rkhunter简介: 1.中文名叫"Rootkit猎手", rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的roo ...

  5. Linux几种检测rootkit隐藏进程的方法

    Rootkit通常会隐藏进程,隐藏文件和网络连接.这里主要记录几种对隐藏进程的检测方法 一. 隐藏进程的方法 1.1 用户级Rootkit 通过LD_PRELOAD来hook libc库,从而过滤/p ...

  6. KNN检测Rootkit

    Rootkit是啥?就是后门工具箱,它的功能是在肉鸡上隐藏自身以及指定的文件.进程和网络链接等信息. 1.数据搜集和数据清洗 KDD99样本数据,通过KNN识别基于Telnet连接的Rootkit行为 ...

  7. linux下基于内存分析的rootkit检测方法

    0x00 引言 某Linux服务器发现异常现象如下图,确定被植入Rootkit,但运维人员使用常规Rootkit检测方法无效,对此情况我们还可以做什么? 图1 被植入Rootkit的Linux服务器 ...

  8. Linux后门入侵检测工具 rkhunter 安装使用

    一.简介: Rkhunter的中文名叫"Rootkit猎手", 目前可以发现大多数已知的rootkits和一些嗅探器以及后门程序.它通过执行一系列的测试脚本来确认服务器是否已经感染 ...

  9. 介绍linux上两种rootkits检测工具: Rootkit Hunter和Chkrootkit

    原贴:http://blog.csdn.net/linkboy2004/archive/2007/03/22/1537890.aspx 介绍linux上两种rootkits检测工具: Rootkit ...

  10. rootkit后门检测工具

    1. 关于rootkit rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发 ...

最新文章

  1. Wireshark如何单独导出包的列信息
  2. Paper Review: Bayesian Shrinkage towards Sharp Minimaxity
  3. 详解Java8中流(Stream)的使用
  4. 西电开源社区Ubuntu 10.04软件源
  5. .Net Core 商城微服务项目系列(二):使用Ocelot + Consul构建具备服务注册和发现功能的网关...
  6. 将Linux下编译的warning警告信息输出到文件中
  7. tm是什么域名_天猫入驻条件门槛是什么意思?企业入驻天猫详细解析
  8. 下载CentOS镜像
  9. 小学学校计算机室文化建设方案,计算机室文化建设方案
  10. mysql统计某一个数据库中有几张表
  11. Delta3D(7)教程:在场景编辑器中加载角色
  12. 联想万全服务器系列,联想服务器万全系列慧眼高级版操作快速入门
  13. 全国行政区划代码表(天地图)
  14. android怎么用经纬度定位,android 根据经纬度定位所在城市
  15. TextCNN pytorch实现
  16. matlab最小二乘法解超定方程,[转载]matlab 超定方程 最小二乘解
  17. 弹窗拦截小帮手------火绒
  18. EditText自动弹出输入法问题
  19. hd530黑苹果硬解_解决黑苹果HD3000核显 VGA和HDMI外接显示器无反应问题
  20. 服务器安装Centos 7系统

热门文章

  1. Qt配置OpenCV教程,无需复杂的编译过程,(详细版)
  2. 集体智慧编程 - 读书笔记
  3. GitHub网页版开始教程
  4. 110道Java初级面试题及答案(最新Java初级面试题大汇总)
  5. 《深入理解计算机系统》CSAPP第三章知识点归纳(看完一遍复习专用)
  6. Java后端开发技术选型
  7. Vulkan-NCNN 编译
  8. batch script learn
  9. 「Activiti精品 悟纤出品」开发一个简单的SpringBoot activiti应用 - 第330篇
  10. 稳定的货源社区源码分享丨新版云乐购免费开源