linux-后门入侵检测工具-chkrootkit

Rookit

简介:rootkitLinux平台常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。Rootkt攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐蔽行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录系统。

 

Rootkit有两种类型:文件级别和内核级别

Rootkit后门检测工具

1)        Chkrootkit

安装

yum install gcc gcc++ glibc-static -y

www.chkrootkit.org下载chkrootkit.tar.gz

tar zxvf chkrootkit.tar.gz

wKioL1bP3c2jvQNmAAAcnb8XHQE945.png

cd chkrootkit-0.50/

make sense

linux-后门入侵检测工具-chkrootkit_第1张图片

cd

mv chkrootkit-0.50/ /usr/local/

使用

/usr/local/chkrootkit-0.50/chkrootkit

各个参数的含义

-h 显示帮助信息

-v显示版本信息

-l显示测试内容

-d debug模式,显示检测过程中相关命令

- q安静模式,只显示有问题的内容

-x 高级模式,显示所有检测结果

-n跳过nfs连接的目录

chkrootkit缺点

chkrootkit使用简单,但是过程使用了部分系统命令,所以当黑客入侵,何可替换了一些系统命令,结果就变得不可信了。

解决这个问题:在服务器对外开放之前,先备份系统命令。

mkdir /usr/share/.commands

cp `which --skip-alias awk ssh cutecho find egrep id head ls netstat ps strings sed uname` /usr/share/.commands

/usr/local/chkrootkit-0.50/chkrootkit-p /usr/share/.commands

只是几个命令没有检测到而已。

                                                 


你可能感兴趣的:(linux,检测工具,后门入侵)