本文主要介紹linux上檢測rootkit的兩種工具: Rootkit Hunter和Chkrootkit.
Rootkit Hunter
中文名叫”Rootkit獵手”, 可以發(fā)現(xiàn)大約58個已知的rootkits和一些嗅探器和后門程序. 它通過執(zhí)行一系列的測試腳本來確認(rèn)你的機(jī)器是否已經(jīng)感染rootkits. 比如檢查rootkits使用的基本文件, 可執(zhí)行二進(jìn)制文件的錯誤文件權(quán)限, 檢測內(nèi)核模塊等等. Rootkit Hunter由Michael Boelen開發(fā), 是開源(GPL)軟件.
安裝Rootkit Hunter非常簡單, 從網(wǎng)站下載軟件包, 解壓, 然后以root用戶身份運行installer.sh腳本sh installer.sh.
成功安裝后, 你可以通過運行下面命令來檢測你的機(jī)器是否已感染rootkit:
# rkhunter -c
二進(jìn)制可執(zhí)行文件rkhunter被安裝到/usr/local/bin目錄, 你需要以root身份來運行該程序. 程序運行后, 它主要執(zhí)行下面一系列的測試:
1. MD5校驗測試, 檢測任何文件是否改動.
2. 檢測rootkits使用的二進(jìn)制和系統(tǒng)工具文件.
3. 檢測特洛伊木馬程序的特征碼.
4. 檢測大多常用程序的文件異常屬性.
5. 執(zhí)行一些系統(tǒng)相關(guān)的測試 - 因為rootkit hunter可支持多個系統(tǒng)平臺.
6. 掃描任何混雜模式下的接口和后門程序常用的端口.
7. 檢測如/etc/rc.d/目錄下的所有配置文件, 日志文件, 任何異常的隱藏文件等等. 例如, 在檢測/dev/.udev和/etc/.pwd.lock文件時候, 我的系統(tǒng)被警告.
8. 對一些使用常用端口的應(yīng)用程序進(jìn)行版本測試. 如: Apache Web Server, Procmail等.
完成上面檢測后, 你的屏幕會顯示掃描結(jié)果: 可能被感染的文件, 不正確的MD5校驗文件和已被感染的應(yīng)用程序.
