一  、 前面说了一个rootkit后门检测工具--chkrootkit,现在再介绍一个后门检测工具,它叫RKHunter!

没什么奇怪的,就像微信和QQ,都是一种聊天工具而已!而chkrootkit和RKHunter都是检测rootkit的一种工具!

  RKHunter 可以做的事情很多,从官方网站上看,主要有下面几种:

   1. MD5检测,检测文件是否改动过

   2.检测rootkit使用的二进制和系统工具文件

   3.检测特洛伊木马程序的特征码

   4.检测隐藏文件

   5.检测系统相关的测试

   6.检测常用程序的文件属性是否异常

   7.检测可疑的核心模块LKM

   8.检测系统已启动的监听端口wo


二、  RKHunter的安装和使用都非常简单

        1.从官方网站下载RKHunter   ---http://www.rootkit.nl/projects/rootkit_hunter.html

        2.我下载的是rkhunter-1.4.2.tar.gz

   安装:

          # tar -zxvf rkhunter-1.4.2.tar.gz

          #cd rkhunter-1.4.2

         # ./installer.sh  --layout  default --install      //这句话的意思是采取RKHunter的默认安装,rkhunter默认安装到/usr/local/bin底下。

       目前为止,安装完了,是的,就这么简单,安装完了。


    用法:

            # /usr/local/bin/rkhunter -c        //-c是检查当前系统,检查的第一部分会进行系统命令检查,主要检查系统的二进制文件,因为这些文件最容易被rrootkit攻击,显示OK字样的话,就正常。显示“Not found”,也不用管它,但是如果显示“Warning ”,你就需要注意了。

LINUX 安全运维  (六)_LINUX  运维安全


第2部分会检查常见的rootkit程序,显示“Not found”就表示系统没有感染rootkit.

LINUX 安全运维  (六)_LINUX  运维安全_02


第3部分是对一些特殊或附加条件的检查,例如对rootkit文件或目录检测,对恶意软件或者指定的内核模块检测等。

LINUX 安全运维  (六)_LINUX  运维安全_03


第4部分是对网络,系统端口,系统启动文件,系统用户,组配置,SSH配置,文件系统进行检查

LINUX 安全运维  (六)_LINUX  运维安全_04


第5部分是对应用程序版本进行检测

LINUX 安全运维  (六)_LINUX  运维安全_05


第6部分是对上面输出的一个总结,通过这个总结,可以大概了解服务器目录的安全状态

LINUX 安全运维  (六)_LINUX  运维安全_06


现在就算检查完了!

在LINUX上面用RKHunter检查有一个很大的好处,就是检测结果用颜色来表示,绿色就没问题,红色就是有问题。需要好好注意!这就像过马路,绿色就是通行,红色就是停止!


----------------------------------------------------------------------------------------------------------

在每部分检查完,需要按enter来继续,如果不想按enter,那就执行下面这条命令:

 #/usr/local/bin/rkhunter --check --skip-keypress


同时,如果想让程序每天自动运行,就可以在/etc/crontab中加入如下内容:

09  3 * * * root /usr/local/bin/rkhunter  --check --cronjob 


这样,RKHunter就会每天的9:30自动运行。


----------------------------------------------------------------------------------------------------------

刚装完的服务器,还没有联网,我就用RKHunter检查了一下,默认有以下是红色 :

系统是:Linux localhost.localdomain 2.6.32-358.el6.x86_64 #1 SMP Tue Jan 29 11:47:41 EST 2013 x86_64 x86_64 x86_64 GNU/Linux

LINUX 安全运维  (六)_LINUX  运维安全_07

LINUX 安全运维  (六)_LINUX  运维安全_08

LINUX 安全运维  (六)_LINUX  运维安全_09

LINUX 安全运维  (六)_LINUX  运维安全_10

LINUX 安全运维  (六)_LINUX  运维安全_11


LINUX 安全运维  (六)_LINUX  运维安全_12


就是以上这些!红色的部分默认让51CTO.COM给挡住了,上传图片就默认挡住了。


-----------------------------------------------------------------------------------------------------

附:

   rkhunter的常用参数:

    -c : 必选参数,表示检测当前系统

   --configfile <file>   :表示使用特定的配置文件

  --cronjob    :作为cron任务定期运行

  --sk,--skip-keypress   :自动完成所有检查,跳过键盘输入

  --summary    :显示检测结果的统计信息

  --update        :检测更新内容

  --V,--version  : 显示版本信息

  --versioncheck   :检测最新版本