Linux后门入侵检测工具 rkhunter 安装使用
一、简介:
Rkhunter的中文名叫“Rootkit猎手”, 目前可以发现大多数已知的rootkits和一些嗅探器以及后门程序。它通过执行一系列的测试脚本来确认服务器是否已经感染rootkits,比如检查rootkits使用的基本文件,可执行二进制文件的错误文件权限,检测内核模块等等。在官方的资料中,RKHunter可以作的事情有:
1、MD5校验测试,检测文件是否有改动 2、检测rootkit使用的二进制和系统工具文件 3、检测特洛伊木 马程序的特征码 4、检测常用程序的文件属性是否异常 5、检测系统相关的测试 6、检测隐藏文件 7、检测可疑的核心模块LKM 8、检测系统已启动的监听端口
二、安装使用:
测试环境:linux
1、下载地址:
http://jaist.dl.sourceforge.net/project/rkhunter
2、上传安装:
tar -zxvf rkhunter-1.4.6.tar.gz cd rkhunter-1.4.6 sh installer.sh --layout default --install
3、常用参数:
常用的几个参数选项有: c, --check 必选参数,表示检测当前系统 configfile <file> 使用特定的配置文件 cronjob 作为cron任务定期运行 sk, --skip-keypress 自动完成所有检测,跳过键盘输入 summary 显示检测结果的统计信息 update 检测更新内容
4、系统检查
rkhunter –update #更新病毒库,可以不执行
/usr/local/bin/rkhunter --check --skip-keypress
5、查看报告:
cd /var/log
more rkhunter.log
6、更新病毒
