返回列表 发帖

Linux rootkit 后门检测工具RKHunter

RKHunter是一款专业的检测系统是否感染rootkit的工具,它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方的资料中,RKHunter可以作的事情有:
MD5校验测试,检测文件是否有改动
检测rootkit使用的二进制和系统工具文件
检测特洛伊木马程序的特征码
检测常用程序的文件属性是否异常
检测系统相关的测试
检测隐藏文件
检测可疑的核心模块LKM
检测系统已启动的监听端口

下面详细讲述下RKHunter的安装与使用。

1、安装RKHunter
RKHunter的官方网页地址为:http://www.rootkit.nl/projects/rootkit_hunter.html,建议从这个网站下载RKHunter,这里下载的版本是rkhunter-1.4.0.tar.gz。RKHunter的安装非常简单,过程如下:
  1. [root@server ~]# ls
  2. rkhunter-1.4.0.tar.gz
  3. [root@server ~]# pwd
  4. /root
  5. [root@server ~]# tar -zxvf rkhunter-1.4.0.tar.gz
  6. [root@server ~]# cd rkhunter-1.4.0
  7. [root@server rkhunter-1.4.0]# ./installer.sh  --layout default --install
  8. # yum install rkhunter
  9. 或者#apt-get install rkhunter 都可以安装
复制代码

这里采用RKHunter的默认安装方式,rkhunter命令被安装到了/usr/local/bin目录下。

2、使用rkhunter指令
rkhunter命令的参数较多,但是使用非常简单,直接运行rkhunter即可显示此命令的用法。下面简单介绍下rkhunter常用的几个参数选项。
[root@server ~]#/usr/local/bin/rkhunter–help
Rkhunter常用参数以及含义如下所示。
参数             含义
-c, --check必选参数,表示检测当前系统
--configfile <file>使用特定的配置文件
--cronjob作为cron任务定期运行
--sk, --skip-keypress自动完成所有检测,跳过键盘输入
--summary显示检测结果的统计信息
--update检测更新内容
-V, --version显示版本信息
--versioncheck检测最新版本
下面是通过rkhunter对某个系统的检测示例:
  1. [root@server rkhunter-1.4.0]# /usr/local/bin/rkhunter   -c
  2. [ Rootkit Hunter version 1.4.0 ]
  3. #下面是第一部分,先进行系统命令的检查,主要是检测系统的二进制文件,因为这些文件最容易被rootkit攻击。显示OK字样表示正常,显示Warning表示有异常,需要引起注意,而显示“Not found”字样,一般无需理会
  4. Checking system commands...
  5.   Performing 'strings' command checks
  6.     Checking 'strings' command                           [ OK ]
  7.   Performing 'shared libraries' checks
  8.     Checking for preloading variables                        [ None found ]
  9.     Checking for preloaded libraries                         [ None found ]
  10.     Checking LD_LIBRARY_PATH variable                 [ Not found ]
  11.   Performing file properties checks
  12.     Checking for prerequisites                              [ Warning ]
  13.     /usr/local/bin/rkhunter  [ OK ]
  14.     /sbin/chkconfig                                       [ OK ]
  15. ....(略)....
  16. [Press <ENTER> to continue]
  17. #下面是第二部分,主要检测常见的rootkit程序,显示“Not found”表示系统未感染此rootkit
  18. Checking for rootkits...
  19.   Performing check of known rootkit files and directories
  20.     55808 Trojan - Variant A                                 [ Not found ]
  21.     ADM Worm                                           [ Not found ]
  22.     AjaKit Rootkit                                         [ Not found ]
  23.     Adore Rootkit                                          [ Not found ]
  24. aPa Kit                                               [ Not found ]
  25.     Apache Worm                                          [ Not found ]
  26.     Ambient (ark) Rootkit                                    [ Not found ]
  27.     Balaur Rootkit           [ Not found ]
  28.     BeastKit Rootkit                                         [ Not found ]
  29. beX2 Rootkit                                             [ Not found ]
  30.     BOBKit Rootkit                    [ Not found ]
  31. ....(略)....
  32. [Press <ENTER> to continue]
  33. #下面是第三部分,主要是一些特殊或附加的检测,例如对rootkit文件或目录检测、对恶意软件检测以及对指定的内核模块检测
  34.   Performing additional rootkit checks
  35.     Suckit Rookit additional checks                          [ OK ]
  36.     Checking for possible rootkit files and directories      [ None found ]
  37.     Checking for possible rootkit strings                    [ None found ]
  38.   Performing malware checks
  39.     Checking running processes for suspicious files          [ None found ]
  40.     Checking for login backdoors                          [ None found ]
  41.     Checking for suspicious directories                     [ None found ]
  42.     Checking for sniffer log files                          [ None found ]
  43.   Performing Linux specific checks
  44.     Checking loaded kernel modules                     [ OK ]
  45.     Checking kernel module names                     [ OK ]
  46. [Press <ENTER> to continue]
  47. #下面是第四部分,主要对网络、系统端口、系统启动文件、系统用户和组配置、SSH配置、文件系统等进行检测
  48. Checking the network...
  49.   Performing checks on the network ports
  50.     Checking for backdoor ports                         [ None found ]
  51.   Performing checks on the network interfaces
  52.     Checking for promiscuous interfaces                      [ None found ]
  53. Checking the local host...
  54.   Performing system boot checks
  55.     Checking for local host name                         [ Found ]
  56.     Checking for system startup files                        [ Found ]
  57.     Checking system startup files for malware                [ None found ]
  58.   Performing group and account checks
  59.     Checking for passwd file [ Found ]
  60.     Checking for root equivalent (UID 0) accounts            [ None found ]
  61.     Checking for passwordless accounts                   [ None found ]
  62. ....(略)....
  63. [Press <ENTER> to continue]
  64. #下面是第五部分,主要是对应用程序版本进行检测
  65. Checking application versions...
  66.     Checking version of GnuPG[ OK ]
  67.     Checking version of OpenSSL                        [ Warning ]
  68.     Checking version of OpenSSH                        [ OK ]
  69. #下面是最后一部分,这个部分其实是上面输出的一个总结,通过这个总结,可以大概了解服务器目录的安全状态。
  70. System checks summary
  71. =====================
  72. File properties checks...
  73.     Required commands check failed
  74.     Files checked: 137
  75.     Suspect files: 4
  76. Rootkit checks...
  77.     Rootkits checked : 311
  78.     Possible rootkits: 0
  79. Applications checks...
  80.     Applications checked: 3
  81.     Suspect applications: 1
  82. The system checks took: 6 minutes and 41 seconds
复制代码

返回列表