本文主要介紹linux上檢測rootkit的兩種工具: Rootkit Hunter和Chkrootkit.
Rootkit Hunter
中文名叫”Rootkit獵手”, 可以發現大約58個已知的rootkits和一些嗅探器和后門程序. 它通過執行一系列的測試腳本來確認你的機器是否已經感染rootkits. 比如檢查rootkits使用的基本文件, 可執行二進制文件的錯誤文件權限, 檢測內核模塊等等. Rootkit Hunter由Michael Boelen開發, 是開源(GPL)軟件.
安裝Rootkit Hunter非常簡單, 從網站下載軟件包, 解壓, 然后以root用戶身份運行installer.sh腳本sh installer.sh.
成功安裝后, 你可以通過運行下面命令來檢測你的機器是否已感染rootkit:
# rkhunter -c
二進制可執行文件rkhunter被安裝到/usr/local/bin目錄, 你需要以root身份來運行該程序. 程序運行后, 它主要執行下面一系列的測試:
1. MD5校驗測試, 檢測任何文件是否改動.
2. 檢測rootkits使用的二進制和系統工具文件.
3. 檢測特洛伊木馬程序的特征碼.
4. 檢測大多常用程序的文件異常屬性.
5. 執行一些系統相關的測試 - 因為rootkit hunter可支持多個系統平臺.
6. 掃描任何混雜模式下的接口和后門程序常用的端口.
7. 檢測如/etc/rc.d/目錄下的所有配置文件, 日志文件, 任何異常的隱藏文件等等. 例如, 在檢測/dev/.udev和/etc/.pwd.lock文件時候, 我的系統被警告.
8. 對一些使用常用端口的應用程序進行版本測試. 如: Apache Web Server, Procmail等.
完成上面檢測后, 你的屏幕會顯示掃描結果: 可能被感染的文件, 不正確的MD5校驗文件和已被感染的應用程序.
