[Linux安全]linux系统安全检测工具之Rootkit Hunter(rkhunter)

2014年1月3日10:29:59 发表评论 7,033 views

一、安装

http://www.rootkit.nl/projects/rootkit_hunter.html下载,最新的版本是1.4.0,官方已经停止发开活动了,下载链接也没了。找了一个放上来。

# wget https://acelnmp.googlecode.com/files/rkhunter-1.4.0.tar.gz
# tar zxvf rkhunter-1.4.0.tar.gz 
# cd rkhunter-1.4.0
#  ./installer.sh --install

 

安装截图

image

# whereis rkhunter

rkhunter: /etc/rkhunter.conf /usr/local/bin/rkhunter

 

二、为应用程序建立样本

为基本系统程序建立校对样本(干净的系统)

rkhunter –propupd

File created: searched for 165 files, found 136

ls /var/lib/rkhunter/db/rkhunter.dat

/var/lib/rkhunter/db/rkhunter.dat

 

三、执行检查

成功安装后, 你可以通过运行下面命令来检测你的机器是否已感染rootkit:

# rkhunter -c

二进制可执行文件rkhunter被安装到/usr/local/bin目录, 你需要以root身份来运行该程序. 程序运行后, 它主要执行下面一系列的测试:

1. MD5校验测试, 检测任何文件是否改动.

2. 检测rootkits使用的二进制和系统工具文件.

3. 检测特洛伊木马程序的特征码.

4. 检测大多常用程序的文件异常属性.

5. 执行一些系统相关的测试 – 因为rootkit hunter可支持多个系统平台.

6. 扫描任何混杂模式下的接口和后门程序常用的端口.

7. 检测如/etc/rc.d/目录下的所有配置文件, 日志文件, 任何异常的隐藏文件等等. 例如, 在检测/dev/.udev和/etc/.pwd.lock文件时候, 我的系统被警告.

8. 对一些使用常用端口的应用程序进行版本测试. 如: Apache Web Server, Procmail等.

khunter是通过一个含有rootkit名字的数据库来检测系统的rootkits漏洞, 所以经常更新该数据库非常重要, 你可以通过下面命令来更新该数据库:

# rkhunter –update

小提醒:最好设置到crontab中,每个月定一个时间进行自动检查

每日自動執行一次rkhunter,在 /etc/crontab 裡面加入:

0 2 * * * root /usr/local/bin/rkhunter –checkall –cronjob

以後就會在 每天2点 自動執行一次!不過,不會有顏色的顯示。

or

How can I run Rootkit Hunter every day?

You can create a cronjob script like this:

#!/bin/sh

( /usr/local/bin/rkhunter –versioncheck

/usr/local/bin/rkhunter –update

/usr/local/bin/rkhunter –cronjob –report-warnings-only

) | /bin/mail -s ‘rkhunter Daily Run’ root

For Linux systems, if the script is saved in the

/etc/cron.daily directory, then the system will automatically

run it once per day.

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: