Rootkit是linux系统下常见一种木马后门程序,通过替换系统文件来达到隐藏和入侵的目的,攻击能力极强

Rootkit分类和原理:

  1. 隐藏进程
  2. 隐藏文件
  3. 隐藏网络端口
  4. 后门功能
  5. 键盘记录

Rootkit主要分一下两种

1 用户态:一般通过覆盖系统二进制和库文件来实现

2 内核态: 通常通过可加载内核模块将恶意代码直接加载进内核中

利用Chkrootkit检测Rootkit

Chkrootkit安装

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit-0.53.tar.gz

tar xf chkrootkit-0.53.tar.gz

cd chkrootkit-0.53

make sense

mv ../chkrootkit-0.53 /usr/local/chkrootkit

编译报错

make sense cc -static  -o strings-static strings.c /usr/bin/ld: cannot find -lc collect2: error: ld returned 1 exit status make: *** [strings-static] Error 1

解决

yum -y install glibc-static

Chkrootkit包含以下部分

chkproc 检查可加载内核模块木马的痕迹

chklastlog 检查lastlog是否被删除

chkwtmp 检查wtmp是否被删除

chkrootkit 用于检查系统二进制文件是否被Rootkit修改

strings-static 快捷的字符串被替换

chkutmp 检查utmp是否被删除

ifpromisc 检查网络端口是否处于混杂模式

chkdirs 检查可加载内核模块木马的痕迹

check_wtmpx 检查wtmpx是否被删除(仅适用于Solaris)

检查系统二进制文件是否被修改

/usr/local/chkrootkit/chkrootkit

输出结果中可能包含的状态字段

INFECTED     检测出了一个可能被已知Rootkit修改过的命令

not infected   未检出出任何已知Rootkit指纹

not tested     未执行测试,在以下情形中发生这种情况

  1. 这种测试是特定于某种操作系统的
  2. 这种测试依赖于外部程序,但这个程序不存在
  3. 给定了一些特定的命令行选项

not found  要检查命令对象不存在

Vulnerable but disabled  命令虽然被感染,但没有在使用中

利用Rkhunter检测Rootkit

安装Rkhunter

wget https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz

tar xf rkhunter-1.4.6.tar.gz
cd rkhunter-1.4.6/
./installer.sh --install

进行系统扫描

/usr/local/bin/rkhunter -c

Suspect files: 3  可疑文件数量

Possible rootkits: 0 可能Rootkit数量

执行完毕后,扫描日志会写入/var/log/rkhunter.log中

如果Suspect files和Possible rootkits不为0 则表示发现可疑文件,从日志中查找Warning的相关进行详细分析

linux Rootkit检查相关推荐

  1. linux Rootkit:x86与ARM的内联内核函数Hooking

    介绍 几个月前,我添加了一个新的项目.(https://github.com/mncoppola/suterusu)         通过我的各种对路由器后门及内核漏洞利用的探险,我最近的兴趣转向Li ...

  2. Linux Rootkit 系列三:实例详解 Rootkit 必备的基本功能

    本文所需的完整代码位于笔者的代码仓库:https://github.com/NoviceLive/research-rootkit. 测试建议: 不要在物理机测试!不要在物理机测试! 不要在物理机测试 ...

  3. linux rootkit 端口复用,Linux Rootkit系列三:实例详解 Rootkit 必备的基本功能

    前言鉴于笔者知识能力上的不足,如有疏忽,欢迎纠正. 测试建议: 不要在物理机测试!不要在物理机测试! 不要在物理机测试! 概要 在 上一篇文章中笔者详细地阐述了基于直接修改系统调用表 (即 sys_c ...

  4. linux隐藏文件导出,看我如何通过Linux Rootkit实现文件隐藏

    预估稿费:180RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 前言 一直以来,我希望能深入了解Linux内核内部是如何工作的.为实现这一点,有一个比较好的思路是写一个小 ...

  5. linux 下检查硬盘坏道/扇区

    http://zhidao.baidu.com/question/238047105.html http://zhangwenxin82.blog.163.com/blog/static/114595 ...

  6. Linux Rootkit 系列四:对于系统调用挂钩方法的补充

    本篇文章按照之前文章所说的,来介绍linux rootkit中的系统调用挂钩技术. 1.背景 本次环境依然是linux 2.6系列内核,ubuntu10.04. 本篇文章及上篇文章的示例代码:Gith ...

  7. 更改日期为英文_如何在 Linux 上检查所有用户密码到期日期 | Linux 中国

    如果你很少使用自己的帐户,那么可能由于密码过期而被锁定.在许多情况下,这可能会在无需密码登录的服务帐户中发生,因为没人会注意到它. -- Magesh Maruthamuthu(作者) 如果你在 Li ...

  8. linux脚本登录启动失败,在Linux上检查用户登录成功与失败的shell脚本

    在Linux上检查用户登录成功与失败的shell脚本 Linux管理员的典型任务之一是检查Linux系统中成功和失败的登录尝试. 手动验证它们非常困难,因为" /var/log/secure ...

  9. oracle anonhugepage,案例:Oracle linux redhat检查Transparent HugePages状态并关闭

    天萃荷净 ALERT: Disable Transparent HugePages on SLES11, RHEL6, OEL6 and UEK2 Kernels 随着去ioe的潮流越来越汹涌,随着内 ...

  10. linux mkdir 系统调用,Linux Rootkit 系列四:对于系统调用挂钩方法的补充

    免责声明:本文介绍的安全知识方法以及代码仅用于渗透测试及安全教学使用,禁止任何非法用途,后果自负 前言 我将会把系列文章继续写下去,由于本系列文章novice同学也在写,所以我俩的顺序可能有点乱,不过 ...

最新文章

  1. 这款可视化工具,Java 调优起来真的 so easy啊
  2. Simple Introduction to Dirichlet Process
  3. Python操作docx文档设置居中并创建表格
  4. 用vim写php,Vim/Neovim中配置PHP的代码调试
  5. 知识图谱入门 , 知识问答
  6. C#在foreach中重用变量是否有原因?
  7. 介绍几个 window 下面的terminal
  8. .npy文件_python——文件读写
  9. centos查询 硬盘序列号查询_关于使用java执行shell脚本获取centos的硬盘序列号和mac地址...
  10. 基于python的新闻发布系统
  11. 世道变坏,从颠覆微信开始
  12. 做一个略调皮的个人博客--菜单篇
  13. android客户端功能,人人网Android版手机客户端功能详解
  14. 小猫爬山题解(暴力解题)
  15. 笔记本电脑网络服务无法使用,打开网络共享中心,一直卡在打开界面或者插入网线后右下角为红叉
  16. NUAA无线传感器网络 复习重点整理
  17. mybatis mysql 关于调用存储过程获取查询结果
  18. 远程云服务器闪退_远程服务器连接 闪退
  19. 一部保护基本权利的欧盟人工智能法:一份民间机构的声明
  20. 【Vue知识点- No7.】路由、vant组件库的使用

热门文章

  1. Spatial-Temporal时间序列预测建模方法汇总
  2. jQuery源码阅读(一)---jQuery源码整体架构
  3. GitHub网页版开始教程
  4. odbc删除oracle驱动,恢复ODBC驱动程序(ODBC driver)
  5. 单位计算机安全和保密措施,安全管理及保密措施
  6. JAVASSM框架面试题
  7. zen brush 2 android,Zen Brush 2 才不仅仅是个练字 App 那么简单
  8. php执行js加密解密
  9. NVIDIA cuDNN 下载
  10. cudnn下载与安装