一、安装
到http://www.rootkit.nl/projects/rootkit_hunter.html下载,最新的版本是1.4.0,官方已经停止发开活动了,下载链接也没了。找了一个放上来。
# wget https://acelnmp.googlecode.com/files/rkhunter-1.4.0.tar.gz # tar zxvf rkhunter-1.4.0.tar.gz # cd rkhunter-1.4.0 # ./installer.sh --install
安装截图
# whereis rkhunter
rkhunter: /etc/rkhunter.conf /usr/local/bin/rkhunter
二、为应用程序建立样本
为基本系统程序建立校对样本(干净的系统)
# rkhunter –propupd
File created: searched for 165 files, found 136
# ls /var/lib/rkhunter/db/rkhunter.dat
/var/lib/rkhunter/db/rkhunter.dat
三、执行检查
成功安装后, 你可以通过运行下面命令来检测你的机器是否已感染rootkit:
# rkhunter -c
二进制可执行文件rkhunter被安装到/usr/local/bin目录, 你需要以root身份来运行该程序. 程序运行后, 它主要执行下面一系列的测试:
1. MD5校验测试, 检测任何文件是否改动.
2. 检测rootkits使用的二进制和系统工具文件.
3. 检测特洛伊木马程序的特征码.
4. 检测大多常用程序的文件异常属性.
5. 执行一些系统相关的测试 – 因为rootkit hunter可支持多个系统平台.
6. 扫描任何混杂模式下的接口和后门程序常用的端口.
7. 检测如/etc/rc.d/目录下的所有配置文件, 日志文件, 任何异常的隐藏文件等等. 例如, 在检测/dev/.udev和/etc/.pwd.lock文件时候, 我的系统被警告.
8. 对一些使用常用端口的应用程序进行版本测试. 如: Apache Web Server, Procmail等.
khunter是通过一个含有rootkit名字的数据库来检测系统的rootkits漏洞, 所以经常更新该数据库非常重要, 你可以通过下面命令来更新该数据库:
# rkhunter –update
小提醒:最好设置到crontab中,每个月定一个时间进行自动检查
每日自動執行一次rkhunter,在 /etc/crontab 裡面加入:
0 2 * * * root /usr/local/bin/rkhunter –checkall –cronjob
以後就會在 每天2点 自動執行一次!不過,不會有顏色的顯示。
or
How can I run Rootkit Hunter every day?
You can create a cronjob script like this:
#!/bin/sh
( /usr/local/bin/rkhunter –versioncheck
/usr/local/bin/rkhunter –update
/usr/local/bin/rkhunter –cronjob –report-warnings-only
) | /bin/mail -s ‘rkhunter Daily Run’ root
For Linux systems, if the script is saved in the
/etc/cron.daily directory, then the system will automatically
run it once per day.
- 我的微信
- 这是我的微信扫一扫
- 我的微信公众号
- 我的微信公众号扫一扫