Linux后门检测工具chkrootkit和rkhunter
1、安装chkrootkit
# apt-get update # apt install chkrootkit # chkrootkit -V chkrootkit version 0.52
#脚本定时任务 出现命令修改时自动发送邮件
#!/bin/bash
#-------------------------------------------------------------------------
#application: 检查linux是否被cc的工具,监控命令是否被替换
#Filename: chkrootkit_everyday.sh
#Revision: 0.1
#Date: 2018/12/03
#Author: hanye
#Email: hz7726@163.com
#Website: hz7726.com
#Description:Check whether the site is rootkit infection
#Notes:
#crontab: */5 * * * * chkrootkit_everyday.sh
#------------------------------------------------------------------------
#Copyright:201 (c) www.1fangxin.cn
#License:GPL
TIME="`date +%Y%m%d%H%M`"
/usr/sbin/chkrootkit -n > /data/sh/.chkrootkitLog/.chkrootkit_$TIME.log
if [ "`grep 'INFECTED' /data/sh/.chkrootkitLog/.chkrootkit_$TIME.log`" != "" ];then
echo "Dangerous"
EMAIL='/data/soft/sendEmail-v1.56/sendEmail'
FEMAIL="hz7726@163.com" #发件邮箱
MAILP="PASSWD"
MAILSMTP="smtp.163.com" #发件邮箱的SMTP
MAILT="hz7726@163.com,.......,...." #收件邮箱
MAILmessage=" server command change ERROR"
$EMAIL -q -f $FEMAIL -t $MAILT -u "您服务器有人登录修改命令,请使用chkrootkit来检测" -m "$MAILmessage" -s $MAILSMTP -o message-charset=utf-8 -xu $FEMAIL -xp $MAILP -o tls=no
else
echo "OK"
fi
2、使用chkrootkit
安装完的chkrootkit程序位于/usr/local/chkrootkit目录下,执行如下命令即可显示chkrootkit的详细用法:
root@fangxin-test# chkrootkit -h
chkrootkit各个参数的含义如下所示。
参数含义
-h显示帮助信息
-v显示版本信息
-l显示测试内容
-ddebug模式,显示检测过程的相关指令程序
-q安静模式,只显示有问题的内容
-x高级模式,显示所有检测结果
-r dir设置指定的目录为根目录
-p dir1:dir2:dirN指定chkrootkit检测时使用系统命令的目录
-n跳过NFS连接的目录
3、使用rkhunter指令
rkhunter命令的参数较多,但是使用非常简单,直接运行rkhunter即可显示此命令的用法。下面简单介绍下rkhunter常用的几个参数选项。
3.1、安装
下载:https://sourceforge.net/projects/rkhunter/files/latest/download tar xf rkhunter-1.4.6.tar.gz cd rkhunter-1.4.6/ ./installer.sh --layout default --install |
-c, --check必选参数,表示检测当前系统
--configfile <file>使用特定的配置文件
--cronjob作为cron任务定期运行
--sk, --skip-keypress自动完成所有检测,跳过键盘输入
--summary显示检测结果的统计信息
--update检测更新内容
-V, --version显示版本信息
--versioncheck检测最新版本
在Linux终端使用rkhunter来检测,最大的好处在于每项的检测结果都有不同的颜色显示,如果是绿色的表示没有问题,如果是红色的,那就要引起关注了。另外,在上面执行检测的过程中,在每个部分检测完成后,需要以Enter键来继续。如果要让程序自动运行,可以执行如下命令:
root@fangxin-test:/data/soft#/usr/local/bin/rkhunter --check --skip-keypress
同时,如果想让检测程序每天定时运行,那么可以在/etc/crontab中加入如下内容:
* 5 * * * root /usr/local/bin/rkhunter --check --cronjob
这样,rkhunter检测程序就会在每个小时运行一次。
转载于:https://blog.51cto.com/9025736/2325291