RootKit检测工具

linux下安装及使用rootkit hunter（rootkit检测扫描工具）

在官方的资料当中，rootkit hunter可以作的事情包括：侦测rootkit 程序、侦测后门程序、以及主机端的套件检查问题。

官方下载：

Project: http://www.rootkit.nl/projects/rootkit_hunter.html
download: http://downloads.sourceforge.net/rkhunter/rkhunter-1.4.2.tar.gz?use_mirror=jaist

解压安装：

解压
#tar -zxvf rkhunter-1.3.4.tar.gz
安装
#cd rkhunter-1.3.4
#./installer.sh -h
Usage: ./installer.sh
Ordered valid parameters:
--help (-h)      : 显示帮助
--examples       : 显示安装实例
--layout : 选择安装模板(安装必选参数).
                   模板选择：
                    - default: (FHS compliant),
                    - /usr,
                    - /usr/local,
                    - oldschool: 之前版本安装路径,
                    - custom: 自定义安装路径,
                    - RPM: for building RPM's. Requires $RPM_BUILD_ROOT.
                    - DEB: for building DEB's. Requires $DEB_BUILD_ROOT.
--striproot      : Strip path from custom layout (for package maintainers).
--install        : 根据选择目录安装
--show           : 显示安装路径
--remove         : 卸载rkhunter
--version        : 显示安装版本

我使用的安装指令:

#./installer.sh --layout default --install

rkhunter操作：

#/usr/local/bin/rkhunter --propupd
#/usr/local/bin/rkhunter -c --sk --rwo


有了rootkit hunter，侦测 rootkit 程序、侦测后门程序、以及主机端的套件检查问题就变得简单了，很多时候，rootkit hunter可以自动帮我们完成这些复杂的工作。

2.

1. chkrootkit的使用

project:  http://www.chkrootkit.org

download:  ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

 

1.1 解压安装

#tar -zxvf chkrootkit.tar.gz

#make sense

 

1.2 运行监测

#./chkrootkit

运行结果在

http://blogimg.chinaunix.net/blog/upfile2/090326111017.pdf

判断有问题的信息如下：

Checking `ifconfig'... INFECTED
Checking `ls'... INFECTED
Checking `netstat'... INFECTED
Checking `ps'... INFECTED
Checking `top'... INFECTED
Searching for Madalin rootkit default files... Possible Madalin rootkit installed
Checking `bindshell'... INFECTED (PORTS:  145)
Checking `lkm'... You have    77 process hidden for readdir command
You have    77 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `sniffer'... eth0: PROMISC

不幸中招，系统只能够重新安装了。在看了这个文档之后，对chkrootkit这个工具又看了一些其他资料。可以做rootkit的自动检查操作

具体可以看  http://www.centospub.com/make/chkrootkit.html

 

1.3 chkrootkit参数说明

Usage: ./chkrootkit [options] [test ...]
Options:
        -h                显示帮助信息
        -V                显示版本信息
        -l                显示测试内容
        -d                debug模式，显示检测过程的相关指令程序
        -q                安静模式，只显示有问题部分，
        -x                高级模式，显示所有检测结果
        -r dir            设定指定的目录为根目录
        -p dir1:dir2:dirN 检测指定目录
        -n                跳过NFS连接的目录