为linux服务器安装rkhunter工具

1．  什么是rootkit

rootkit指的是一项后门技术、一类后门软件集，其表现形式是：攻击者使用各种后门程序文件替换系统中的正常程序文件，例如login、ls、ps、top、ifconfig、crontab等，当受害者运行这些被替换的程序时，会执行窃取密码、提升权限、发送敏感资料等后门任务，并且会隐藏相关的日志记录、删除攻击痕迹。

rootkit的目的在于隐藏自己不被发现，阻止用户识别和删除攻击程序文件，以便允许攻击者在受害机保持长期存在，持续执行各种后门任务。大多数用户对系统中的rootkit程序可能毫无察觉，因为这些后门程序“看起来”和正常程序并无差别。

由于rootkit的隐蔽性和被动攻击的特点，通常很难被发现。针对rootkit后门的猎杀手段，一方面可以使用各种病毒扫描软件，另一方面可以针对系统程序做完整性检查。在Linux服务器中，可以使用Tripwire校验工具、Rootkit Hunter猎杀工具等。对于找出的Rootkit，可能很难确认到底造成了那些损害，因此最好的应对方法是格式化后重新安装系统，虽然这种手段很严厉，但这是已经证实的唯一可以彻底删除rootkit的方法。

 

2．  关于rkhunter

rkhunter是Linux平台下的一款开源入侵检测工具，具有非常全面的扫描范围，除了能够检测各种已知的rootkit特征码以外，还支持端口扫描、常用程序文件的变动情况检查。rkhunter的官方网站位于http://www.rootkit.nl/，目前最新的版本是rkhunter-1.3.8。

3、安装rkhunter

[root@localhost pub]# tar zxf rkhunter-1.3.8.tar.gz

[root@localhost pub]# cd rkhunter-1.3.8

[root@localhost rkhunter-1.3.8]# ./installer.sh --install

2 ）为基本系统程序建立校对样本（干净的系统）

[root@localhost ~]# rkhunter --propupd

[ Rootkit Hunter version 1.3.8 ]

File created: searched for 165 files, found 136