rkhunter简介:
中文名叫”Rootkit猎手”,
rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。
rootkit是什么?
rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。
rootkit主要有两种类型:文件级别和内核级别。
文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwire、aide等。
内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。以防范
为主。
在Linux系统中安装Rootkit Hunter Scanner
第1步:下载Rkhunter
首先要下载Rkhunter工具的最新的稳定版本http://www.rootkit.nl/projects/rootkit_hunter.html或者使用下面的命令Wget的下载它在你的系统中。
# cd /tmp # wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
或重官网下载:使用rz上传到Linux服务器上
第2步:安装Rkhunter
一旦你已经下载了最新版本,以root用户来安装它运行以下命令。
# tar -xvf rkhunter-1.4.6.tar.gz # cd rkhunter-1.4.6 # ./installer.sh --layout default --install
第3步:更新Rkhunter
运行RKH更新通过运行以下命令来填充数据库属性。
# /usr/local/bin/rkhunter --update # /usr/local/bin/rkhunter --propupd
第4步:设置Cronjob和电子邮件警报
创建名为下/etc/cron.daily/ rkhunter.sh文件,然后每天会扫描你的文件系统,并发送电子邮件通知到您的电子邮件ID。 在您喜欢的编辑器的帮助下创建以下文件。
# vim /etc/cron.daily/rkhunter.sh
添加以下代码行,并与你的“ 电子邮件ID”替换“YourServerNameHere”与“ 服务器名称 ”和“your@email.com”。
#!/bin/sh ( /usr/local/bin/rkhunter --versioncheck /usr/local/bin/rkhunter --update /usr/local/bin/rkhunter --cronjob --report-warnings-only ) | /bin/mail -s 'rkhunter Daily Run (PutYourServerNameHere)' your@email.com
对文件设置执行权限。
# chmod 755 /etc/cron.daily/rkhunter.sh
第5步:手动扫描和使用
要扫描整个文件系统,运行Rkhunter作为根用户。
# rkhunter --check
示例输出
[ Rootkit Hunter version 1.4.6 ] Checking system commands... Performing 'strings' command checks Checking 'strings' command [ OK ] Performing 'shared libraries' checks Checking for preloading variables [ None found ] Checking for preloaded libraries [ None found ] Checking LD_LIBRARY_PATH variable [ Not found ] Performing file properties checks Checking for prerequisites [ OK ] /usr/local/bin/rkhunter [ OK ] /usr/sbin/adduser [ OK ] /usr/sbin/chkconfig [ OK ] /usr/sbin/chroot [ OK ] /usr/sbin/depmod [ OK ] /usr/sbin/fsck [ OK ]
上述命令下与Rkhunter做出的检查结果/var/log/rkhunter.log生成日志文件。
# cat /var/log/rkhunter.log
示例输出
03:33:40] Running Rootkit Hunter version 1.4.6on server [03:33:40] [03:33:40] Info: Start date is Tue May 31 03:33:40 EDT 2020 [03:33:40] [03:33:40] Checking configuration file and command-line options... [03:33:40] Info: Detected operating system is 'Linux' [03:33:40] Info: Found O/S name: CentOS Linux release 7.2.1511 (Core) [03:33:40] Info: Command line is /usr/local/bin/rkhunter --check [03:33:40] Info: Environment shell is /bin/bash; rkhunter is using bash [03:33:40] Info: Using configuration file '/etc/rkhunter.conf' [03:33:40] Info: Installation directory is '/usr/local'
有关更多信息和选项,请运行以下命令。
# rkhunter --help
原文地址:https://www.smvbox.com/
Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved