目前可以发现大多数已知的rootkits和一些嗅探器以及后门程序。它通过执行一系列的测试脚本来确认服务器是否已经感染rootkits,比如检查rootkits使用的基本文件,可执行二进制文件的错误文件权限,检测内核模块等等。
安装
yum install rkhunter
这个软件需要及时的进行更新库
yum install rkhunter
基础使用方式也很简单
rkhunter -c这里会检测各种模块
主要检测
1. MD5校验测试, 检测任何文件是否改动.2. 检测rootkits使用的二进制和系统工具文件.3. 检测特洛伊木马程序的特征码.4. 检测大多常用程序的文件异常属性.5. 执行一些系统相关的测试 - 因为rootkit hunter可支持多个系统平台.6. 扫描任何混杂模式下的接口和后门程序常用的端口.7. 检测如/etc/rc.d/目录下的所有配置文件, 日志文件, 任何异常的隐藏文件等等. 例如, 在检测/dev/.udev和/etc /.pwd.lock文件时候, 我的系统被警告.8. 对一些使用常用端口的应用程序进行版本测试. 如: Apache Web Server, Procmail等.
脚本运行检测的时候会逐步提示当前检测的信息,检测下一个项目需要按回车继续,可以加-q参数
原文始发于微信公众号(白安全组):使用Rkhunter检测linux渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论