linux Rootkit检查
Rootkit是linux系统下常见一种木马后门程序,通过替换系统文件来达到隐藏和入侵的目的,攻击能力极强
Rootkit分类和原理:
- 隐藏进程
- 隐藏文件
- 隐藏网络端口
- 后门功能
- 键盘记录
Rootkit主要分一下两种
1 用户态:一般通过覆盖系统二进制和库文件来实现
2 内核态: 通常通过可加载内核模块将恶意代码直接加载进内核中
利用Chkrootkit检测Rootkit
Chkrootkit安装
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit-0.53.tar.gz
tar xf chkrootkit-0.53.tar.gz
cd chkrootkit-0.53
make sense
mv ../chkrootkit-0.53 /usr/local/chkrootkit
编译报错
make sense cc -static -o strings-static strings.c /usr/bin/ld: cannot find -lc collect2: error: ld returned 1 exit status make: *** [strings-static] Error 1
解决
yum -y install glibc-static
Chkrootkit包含以下部分
chkproc 检查可加载内核模块木马的痕迹
chklastlog 检查lastlog是否被删除
chkwtmp 检查wtmp是否被删除
chkrootkit 用于检查系统二进制文件是否被Rootkit修改
strings-static 快捷的字符串被替换
chkutmp 检查utmp是否被删除
ifpromisc 检查网络端口是否处于混杂模式
chkdirs 检查可加载内核模块木马的痕迹
check_wtmpx 检查wtmpx是否被删除(仅适用于Solaris)
检查系统二进制文件是否被修改
/usr/local/chkrootkit/chkrootkit
输出结果中可能包含的状态字段
INFECTED 检测出了一个可能被已知Rootkit修改过的命令
not infected 未检出出任何已知Rootkit指纹
not tested 未执行测试,在以下情形中发生这种情况
- 这种测试是特定于某种操作系统的
- 这种测试依赖于外部程序,但这个程序不存在
- 给定了一些特定的命令行选项
not found 要检查命令对象不存在
Vulnerable but disabled 命令虽然被感染,但没有在使用中
利用Rkhunter检测Rootkit
安装Rkhunter
wget https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar xf rkhunter-1.4.6.tar.gz
cd rkhunter-1.4.6/
./installer.sh --install
进行系统扫描
/usr/local/bin/rkhunter -c
Suspect files: 3 可疑文件数量
Possible rootkits: 0 可能Rootkit数量
执行完毕后,扫描日志会写入/var/log/rkhunter.log中
如果Suspect files和Possible rootkits不为0 则表示发现可疑文件,从日志中查找Warning的相关进行详细分析
linux Rootkit检查相关推荐
- linux Rootkit:x86与ARM的内联内核函数Hooking
介绍 几个月前,我添加了一个新的项目.(https://github.com/mncoppola/suterusu) 通过我的各种对路由器后门及内核漏洞利用的探险,我最近的兴趣转向Li ...
- Linux Rootkit 系列三:实例详解 Rootkit 必备的基本功能
本文所需的完整代码位于笔者的代码仓库:https://github.com/NoviceLive/research-rootkit. 测试建议: 不要在物理机测试!不要在物理机测试! 不要在物理机测试 ...
- linux rootkit 端口复用,Linux Rootkit系列三:实例详解 Rootkit 必备的基本功能
前言鉴于笔者知识能力上的不足,如有疏忽,欢迎纠正. 测试建议: 不要在物理机测试!不要在物理机测试! 不要在物理机测试! 概要 在 上一篇文章中笔者详细地阐述了基于直接修改系统调用表 (即 sys_c ...
- linux隐藏文件导出,看我如何通过Linux Rootkit实现文件隐藏
预估稿费:180RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 前言 一直以来,我希望能深入了解Linux内核内部是如何工作的.为实现这一点,有一个比较好的思路是写一个小 ...
- linux 下检查硬盘坏道/扇区
http://zhidao.baidu.com/question/238047105.html http://zhangwenxin82.blog.163.com/blog/static/114595 ...
- Linux Rootkit 系列四:对于系统调用挂钩方法的补充
本篇文章按照之前文章所说的,来介绍linux rootkit中的系统调用挂钩技术. 1.背景 本次环境依然是linux 2.6系列内核,ubuntu10.04. 本篇文章及上篇文章的示例代码:Gith ...
- 更改日期为英文_如何在 Linux 上检查所有用户密码到期日期 | Linux 中国
如果你很少使用自己的帐户,那么可能由于密码过期而被锁定.在许多情况下,这可能会在无需密码登录的服务帐户中发生,因为没人会注意到它. -- Magesh Maruthamuthu(作者) 如果你在 Li ...
- linux脚本登录启动失败,在Linux上检查用户登录成功与失败的shell脚本
在Linux上检查用户登录成功与失败的shell脚本 Linux管理员的典型任务之一是检查Linux系统中成功和失败的登录尝试. 手动验证它们非常困难,因为" /var/log/secure ...
- oracle anonhugepage,案例:Oracle linux redhat检查Transparent HugePages状态并关闭
天萃荷净 ALERT: Disable Transparent HugePages on SLES11, RHEL6, OEL6 and UEK2 Kernels 随着去ioe的潮流越来越汹涌,随着内 ...
- linux mkdir 系统调用,Linux Rootkit 系列四:对于系统调用挂钩方法的补充
免责声明:本文介绍的安全知识方法以及代码仅用于渗透测试及安全教学使用,禁止任何非法用途,后果自负 前言 我将会把系列文章继续写下去,由于本系列文章novice同学也在写,所以我俩的顺序可能有点乱,不过 ...
最新文章
- 这款可视化工具,Java 调优起来真的 so easy啊
- Simple Introduction to Dirichlet Process
- Python操作docx文档设置居中并创建表格
- 用vim写php,Vim/Neovim中配置PHP的代码调试
- 知识图谱入门 , 知识问答
- C#在foreach中重用变量是否有原因?
- 介绍几个 window 下面的terminal
- .npy文件_python——文件读写
- centos查询 硬盘序列号查询_关于使用java执行shell脚本获取centos的硬盘序列号和mac地址...
- 基于python的新闻发布系统
- 世道变坏,从颠覆微信开始
- 做一个略调皮的个人博客--菜单篇
- android客户端功能,人人网Android版手机客户端功能详解
- 小猫爬山题解(暴力解题)
- 笔记本电脑网络服务无法使用,打开网络共享中心,一直卡在打开界面或者插入网线后右下角为红叉
- NUAA无线传感器网络 复习重点整理
- mybatis mysql 关于调用存储过程获取查询结果
- 远程云服务器闪退_远程服务器连接 闪退
- 一部保护基本权利的欧盟人工智能法:一份民间机构的声明
- 【Vue知识点- No7.】路由、vant组件库的使用