linux-后门入侵检测工具-chkrootkit

Rookit

简介：rootkit是Linux平台常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。Rootkt攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐蔽行迹，从而让攻击者保住权限，以使它在任何时候都可以使用root权限登录系统。

 

Rootkit有两种类型：文件级别和内核级别

Rootkit后门检测工具

1）        Chkrootkit

安装

yum install gcc gcc++ glibc-static -y

www.chkrootkit.org下载chkrootkit.tar.gz

tar zxvf chkrootkit.tar.gz

cd chkrootkit-0.50/

make sense

cd

mv chkrootkit-0.50/ /usr/local/

使用

/usr/local/chkrootkit-0.50/chkrootkit

各个参数的含义

-h 显示帮助信息

-v显示版本信息

-l显示测试内容

-d debug模式，显示检测过程中相关命令

- q安静模式，只显示有问题的内容

-x 高级模式，显示所有检测结果

-n跳过nfs连接的目录

chkrootkit缺点

chkrootkit使用简单，但是过程使用了部分系统命令，所以当黑客入侵，何可替换了一些系统命令，结果就变得不可信了。

解决这个问题：在服务器对外开放之前，先备份系统命令。

mkdir /usr/share/.commands

cp `which --skip-alias awk ssh cutecho find egrep id head ls netstat ps strings sed uname` /usr/share/.commands

/usr/local/chkrootkit-0.50/chkrootkit-p /usr/share/.commands

只是几个命令没有检测到而已。