Rootkit Hunter 使用介绍
linux和BSD下后门程序一般最为复杂和严重的是内核级的Rootkit,同样在Windows下Rootkit以及BootKit也是最难清理和危害最大又存活最强的后门程序。在Windows下的Rootkit很多样化但相应检测和清理的工具很多种,linux下Rootkit的检测和清理工具相对较少,其中有这两个比较常用:Chkrootkit和RootkitHunter。
Chkrootkit版本较旧,其官网www.chkrootkit.org上已无法下载程序包,只能通过其他渠道获取,有C源码和直接编译好的bin,我在CentOS6上测试过,检测的项目相对较少。
重点说一下Rootkit Hunter这个,http://www.rootkit.nl/projects/rootkit_hunter.html,目前依然在持续更新。
Rootkit Hunter支持多种Linux和BSD发行版本,能检测到目前绝大部分的后门程序,目前是1.4.0版本(rkhunter-1.4.0.tar.gz)。
Rootkit Hunter是遵循GPL的Shellscript,也可以自行修改完善。
具体的使用方法:
tar vxfrkhunter-1.4.0.tar.gz
./installer.sh //安装脚本,安装后可以使用--remove参数卸载。
./installer.sh --show //查看安装后的信息。
/usr/local/bin/ //安装后的默认路径,安装的时候已经设置环境变量,不需要切换到此目录下运行。
执行本地系统检测:rkhunter -c
默认只需c参数即可开始检测,其他还有众多参数可以参考,运行的时候会调用读取/etc/rkhunter.conf配置文件。
rkhunter.conf配置文件在执行installer.sh安装脚本的时候已自动拷到/etc/下。
脚本运行检测的时候会逐步提示当前检测的信息,检测下一个项目需要按回车继续,可以加-q参数启动安静模式不提示输出:
Checking system commands...
[Press <ENTER> to continue]
Checking for rootkits...
[Press <ENTER> to continue]
Checking the network...
Checking the local host...
Checking application versions...
rkhunter -c -q //安静模式
运行rkhunter -c后开始执行检测扫描,发现可疑的文件会红色警示,最后日志输出在:
/var/log/rkhunter.log
rkhunter-1.4.0.tar.gz已上传到132:http://122.11.55.132/rkhunter-1.4.0.tar.gz
rkhunter只是一个轻量级的快速检测后门工具,要对系统文件完整的扫描,需要杀毒软件才行,
比如Kaspersky Anti-Virus for Linux File Server,已经测试8.0的版本,需要的时候就相应部署。