一 、 前面说了一个rootkit后门检测工具--chkrootkit,现在再介绍一个后门检测工具,它叫RKHunter!
没什么奇怪的,就像微信和QQ,都是一种聊天工具而已!而chkrootkit和RKHunter都是检测rootkit的一种工具!
RKHunter 可以做的事情很多,从官方网站上看,主要有下面几种:
1. MD5检测,检测文件是否改动过
2.检测rootkit使用的二进制和系统工具文件
3.检测特洛伊木马程序的特征码
4.检测隐藏文件
5.检测系统相关的测试
6.检测常用程序的文件属性是否异常
7.检测可疑的核心模块LKM
8.检测系统已启动的监听端口wo
二、 RKHunter的安装和使用都非常简单
1.从官方网站下载RKHunter ---http://www.rootkit.nl/projects/rootkit_hunter.html
2.我下载的是rkhunter-1.4.2.tar.gz
安装:
# tar -zxvf rkhunter-1.4.2.tar.gz
#cd rkhunter-1.4.2
# ./installer.sh --layout default --install //这句话的意思是采取RKHunter的默认安装,rkhunter默认安装到/usr/local/bin底下。
目前为止,安装完了,是的,就这么简单,安装完了。
用法:
# /usr/local/bin/rkhunter -c //-c是检查当前系统,检查的第一部分会进行系统命令检查,主要检查系统的二进制文件,因为这些文件最容易被rrootkit攻击,显示OK字样的话,就正常。显示“Not found”,也不用管它,但是如果显示“Warning ”,你就需要注意了。
第2部分会检查常见的rootkit程序,显示“Not found”就表示系统没有感染rootkit.
第3部分是对一些特殊或附加条件的检查,例如对rootkit文件或目录检测,对恶意软件或者指定的内核模块检测等。
第4部分是对网络,系统端口,系统启动文件,系统用户,组配置,SSH配置,文件系统进行检查
第5部分是对应用程序版本进行检测
第6部分是对上面输出的一个总结,通过这个总结,可以大概了解服务器目录的安全状态
现在就算检查完了!
在LINUX上面用RKHunter检查有一个很大的好处,就是检测结果用颜色来表示,绿色就没问题,红色就是有问题。需要好好注意!这就像过马路,绿色就是通行,红色就是停止!
----------------------------------------------------------------------------------------------------------
在每部分检查完,需要按enter来继续,如果不想按enter,那就执行下面这条命令:
#/usr/local/bin/rkhunter --check --skip-keypress
同时,如果想让程序每天自动运行,就可以在/etc/crontab中加入如下内容:
09 3 * * * root /usr/local/bin/rkhunter --check --cronjob
这样,RKHunter就会每天的9:30自动运行。
----------------------------------------------------------------------------------------------------------
刚装完的服务器,还没有联网,我就用RKHunter检查了一下,默认有以下是红色 :
系统是:Linux localhost.localdomain 2.6.32-358.el6.x86_64 #1 SMP Tue Jan 29 11:47:41 EST 2013 x86_64 x86_64 x86_64 GNU/Linux
就是以上这些!红色的部分默认让51CTO.COM给挡住了,上传图片就默认挡住了。
-----------------------------------------------------------------------------------------------------
附:
rkhunter的常用参数:
-c : 必选参数,表示检测当前系统
--configfile <file> :表示使用特定的配置文件
--cronjob :作为cron任务定期运行
--sk,--skip-keypress :自动完成所有检查,跳过键盘输入
--summary :显示检测结果的统计信息
--update :检测更新内容
--V,--version : 显示版本信息
--versioncheck :检测最新版本