Rootkit Hunter系统检测工具

在我今天说Rooterkit Hunter之前我来说说一些基本概念。在linux下的root意味着超级用户权利无限大,那么在如今脆弱的互联网大环境下,我们怎么样才能做些简单得检测进行分析、查看呢?怎么样才能够获得这么样的一个无限大的权限呢?嘿嘿,有人想到了,使用网上流行的Rootkit,简单的说就是一个攻击脚本,使用这样一个工具我们就可以进行入侵了。但是我们如何进行防护呢?就是今天主题了,Rootkit Hunter。

一:概念

Rootkit:Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。如果有相应的权限进入系统后,他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。他通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中信息。用rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入系统了。

那么如何防止Rootkit攻击呢?其实和windows一样(我今天说滴是linux下)关闭不必要的服务,随时更新主机中的套件程序补丁。关闭不必要的服务我前面已经写过了,还有更新一些套件程序也可以用yum来实现,具体可见http://yangjunfeng.blog.51cto.com/539796/168333其实还可以借助工具来实现,就是用Rootkit Hunter查看某些重要程序是否被Rootkit攻击。

Rootkit Hunter:简单的说下,linux下的杀毒软件,但是只具有检测功能,不具备杀毒功能。得手动进行查杀。

二:Rootkit Hunter的功能

1》检测系统重要的文档的MD5码,保证文件的完整性。

自身的MD5码与官方的MD5码进行比对,一样的话就没有被攻击。和我们平常下载游戏的时候见到的官网出示的MD5码一样,如果下载之后不一样,你打开它干嘛?说哈哈终于我中木马了。。。

2》检测易受攻击的文件

因为Rootkit为了达到效果取得系统的控制权限,他们会主动更改一些文档,最重要的是一些特别重要的文档。所以,你进行Hunter的检测这些文档,就可以发现有么被Rootkit攻击

3》检测隐藏文件

我们知道linux的隐藏文件都是在名称前面加一个“.”攻击者可以通过这些隐藏文见来隐藏他的主程序,同样使用Hunter可以分析进行查找

4》检测重要文件的权限

大家知道一些重要的文件权限,如;/bin/ls具有755权限,而许多木马程序做了更改之后会成为777的权限,从中可以判断是不是有问题

5》检测内核模块

linux的核心功能具有LKM性(Loadable Kernel Module)系统做什么由其系统决定。。。

6》检测系统端口号

7》检测木马常攻击的文件

一些特定的木马或后门,会在系统上建立一个特殊的文档,这些文档名是不变的。。。

三:下载Rootkit Hunter地址

http://www.rootkit.nl/projects/rootkit_hunter.html

四:安装程序

1》下载本地机器中

我的物理机中有Rootkit Hunter的程序包,我连到物理机中进行下载,进入后进行查看,是否有rkhunter包

28

找到后进行下载到linux本地中

29

下载后进行查看

30

2》解压

31

3》cd进入目录,然后进行安装

32

五:使用

安装后就可以向系统命令一样,可以直接运行rkhunter �Ccheckall

33

之后会出现共五部分的步骤(太快了没有抓全)

34

会提示你按回车几下,汇总结果是。。。

35

这样就可以进行分析\查看了

它被安装到了/usr/local/bin/rkhunter �Ccheckall

我来说说前面说地要检测的五部分

第一部分:检测重要文件的MD5码

第二部分:检测常见rootkit攻击文件和目录

第三部分:检测常见木马端口

第四部分:检测本机信息

第五部分:检测安全套件

总结信息

为了方便我们可以进行无人值守(就是不用去手工的敲回车了)进行如下命令就可

36

37

汇总信息也有滴

38

在检测期间如果你有幸看到红色的字体,那么就要留心注意喽。。。

你可能感兴趣的:(系统,工具,检测,rootkit,Hunter)