一款开源好用的rootkit检查工具

admin 2022年3月30日11:49:28评论243 views字数 925阅读3分5秒阅读模式
   rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root  权限登录到系统。
    rootkit主要有两种类型:文件级别和内核级别。
   文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwire、aide等。 
   内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。本文介绍Chkrootkit检查工具。

需要先准备gcc编译环境

对于CentOS系统,执行下述三条命令:

yum -y install gcc

yum -y install gcc-c++

yum -y install make

对于debian系统,执行下述两条命令:

apt-get -y install gcc

apt-get -y install make

下载chkrootkit源码:
http://www.chkrootkit.org/download/
对下载回来的压缩包执行以下操作:
tar zxf chkrootkit.tar.gz
cd chkrootkit-*
make sense

一款开源好用的rootkit检查工具


使用帮助:

一款开源好用的rootkit检查工具


运行程序:

./chkrootkit

一款开源好用的rootkit检查工具


关注公众号了解更多资讯


纵横安区圈

一款开源好用的rootkit检查工具





原文始发于微信公众号(纵横安全圈):一款开源好用的rootkit检查工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月30日11:49:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一款开源好用的rootkit检查工具http://cn-sec.com/archives/854819.html

发表评论

匿名网友 填写信息