rootkit 检测报告

#!/bin/bash 
#function: rootkit 检测报告 
#author：zhanglejie 
#date：2014/6/30 
# 
#检查路径 
if [ ! -d /tmp/NSF0CUS_ER_REPORT ] 
then 
mkdir -p /tmp/NSF0CUS_ER_REPORT 
fi 
if [ ! -d /tmp/NSF0CUS_ER_REPORT/logs ] 
then 
mkdir /tmp/NSF0CUS_ER_REPORT/logs 
fi 
#最终报告文件 
report=/tmp/NSF0CUS_ER_REPORT/NSF0CUS_RH_CHKER_`date +%Y%m%d`.log 
#分隔符 
sp="++++++++++++++++++++++" 
#下载、安装 rkhunter 
if [ ! -f /usr/local/bin/rkhunter ] 
then 
cd /tmp 
wget -q http://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
if [ -f rkhunter-1.4.2.tar.gz ] 
then 
tar -zxf rkhunter-1.4.2.tar.gz 
cd rkhunter-1.4.2 
./installer.sh --install 
fi 
fi 
#passwd文件权限和内容 
echo $sp "passwd文件权限和内容" $sp > $report 
ls -l /etc/passwd >> $report 
cat /etc/passwd >> $report 
#shadow文件权限和内容 
echo $sp "shadow文件权限和内容" $sp >> $report 
ls -l /etc/shadow >> $report 
cat /etc/shadow >> $report 
#所有用户的UID值 
echo $sp "所有用户的UID值" $sp >> $report 
echo "UID:UserName" >> $report 
awk -F ":" '{print $3":"$1}' /etc/passwd|sort -n >> $report 
#用户在线（登录）信息 
echo $sp "在线用户信息" $sp >> $report 
w >> $report 
#进程列表 
echo $sp "进程和端口" $sp >> $report 
lsof -i -n -P >> $report 
#网络连接信息 
echo $sp "网络连接信息" $sp >> $report 
netstat -nutpla >> $report 
#服务列表 
echo $sp "服务列表" $sp >> $report 
chkconfig --list >> $report 
#所有用户.bash_history内容 
echo $sp "所有的.bash_history内容" $sp >> $report 
find / -name \.bash_history -exec cat {} + >> $report 
#rootkit hunter 的检测结果 
/usr/local/bin/rkhunter -q --check --sk 
echo $sp "rootkit hunter 的检测结果" $sp >> $report 
cat /var/log/rkhunter.log|grep -v "Not found"|grep -v "None found" |grep '\[ .* \]'|awk -F "]" '{print $2"]"}' >> $report 
#last 的输出信息 
echo $sp "last 的输出信息" $sp >> $report 
last >> $report 
#运行结束提示 
echo "已经生成报告" $report