rootkit是linux系统下常见一种木马后门程序,通过替换系统文件来达到隐藏和入侵的目的,攻击能力极强;
linux下容易被替换系统程序有login ls ps ifconfig du find nestat 等文件,其中login是最经常被替换的;因为linux登录,无论远程还是本地,都必须要启动/bin/login来收集并核对用户的账号和密码;系统管理员修改密码,攻击者还是可以登录系统的;
rootkit.jpg
安装步骤初始需要的组件:

yum install wget gcc-c++ glibc-static -y

下载安装包:

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5

校验安装包:

md5sum -c chkrootkit.md5
chkrootkit.tar.gz: OK

解压安装:

tar –xzf chkrootkit.tar.gz
mv chkrootkit-0.52 /usr/local/chkrootkit
cd /usr/local/chkrootkit
make sense
ln -s /usr/local/chkrootkit/chkrootkit /usr/bin/

使用帮助:

chkrootkit -h
        -h                显示帮助信息
        -V                显示版本信息
        -l                显示测试内容
        -d                debug模式,显示检测过程的相关指令程序
        -q                安静模式,只显示有问题部分,
        -x                高级模式,显示所有检测结果
        -r dir            设定指定的目录为根目录
        -p dir1:dir2:dirN 检测指定目录
        -n                跳过NFS连接的目录

直接使用:

chkrootkit | grep INFECTED

更多参考:https://bbs.pediy.com/thread-247591.htm

Tags标签: chkrootkit,入侵,检测 Tags相关文章如下:

上一篇:MySQL触发器的创建、查看、删除

下一篇:Tengine快速安装及使用