rootkit后门检测工具chkrootkit
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了rootkit后门检测工具chkrootkit相关的知识,希望对你有一定的参考价值。
1.安装chkrootkit
yum -y install gcc gcc-c++ make
mkdir /mytools
cd /mytools/
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar -zxf chkrootkit.tar.gz
cd chkrootkit-0.52/
make sense
错误:
[[email protected] chkrootkit-0.52]# make sense
cc -static -o strings-static strings.c
/usr/bin/ld: cannot find -lc
collect2: ld returned 1 exit status
make: *** [strings-static] Error 1
解决:
cd /mytools/chkrootkit-0.52/
yum -y install glibc-static
make clean
make sense
ln -sv /mytools/chkrootkit-0.52/ /usr/local/chkrootkit
2.使用chkrootkit
检测:/usr/local/chkrootkit/chkrootkit
/usr/local/chkrootkit/chkrootkit |grep INFECTED (没有输出代表正常)
安装完的chkrootkit程序位于/mytools/chkrootkit-0.52/chkrootkit目录下,执行如下命令即可显示chkrootkit的详细用法:
[[email protected] local]# /mytools/chkrootkit-0.52/chkrootkit -h
或
[[email protected] local]# /usr/local/chkrootkit/chkrootkit -h
chkrootkit各个参数的含义如下所示。
参数含义
-h显示帮助信息
-v显示版本信息
-l显示测试内容
-ddebug模式,显示检测过程的相关指令程序
-q安静模式,只显示有问题的内容
-x高级模式,显示所有检测结果
-r dir设置指定的目录为根目录
-p dir1:dir2:dirN指定chkrootkit检测时使用系统命令的目录
-n跳过NFS连接的目录
chkrootkit的使用比较简单,直接执行chkrootkit命令即可自动开始检测系统。下面是某个系统的检测结果:
[[email protected] chkrootkit]# /usr/local/chkrootkit/chkrootkit
Checking ifconfig‘... INFECTED<br/>Checking
ls‘... INFECTED
Checking login‘... INFECTED<br/>Checking
netstat‘... INFECTED
Checking ps‘... INFECTED<br/>Checking
top‘... INFECTED
Checking sshd‘... not infected<br/>Checking
syslogd‘... not tested
Checking tar‘... not infected<br/>Checking
tcpd‘... not infected
Checking tcpdump‘... not infected<br/>Checking
telnetd‘... not found
从输出可以看出,此系统的ifconfig、ls、login、netstat、ps和top命令已经被感染。针对被感染rootkit的系统,最安全而有效的方法就是备份数据重新安装系统。
3.chkrootkit的缺点
chkrootkit在检查rootkit的过程中使用了部分系统命令,因此,如果服务器被×××***,那么依赖的系统命令可能也已经被***者替换,此时chkrootkit的检测结果将变得完全不可信。为了避免chkrootkit的这个问题,可以在服务器对外开放前,事先将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始系统命令让chkrootkit对rootkit进行检测。这个过程可以通过下面的操作实现:
mkdir /usr/share/.commands
cp which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname
/usr/share/.commands
/usr/local/chkrootkit/chkrootkit -p /usr/share/.commands/
cd /usr/share/
tar zcvf commands.tar.gz .commands
rm -rf commands.tar.gz
上面这段操作是在/usr/share/下建立了一个.commands隐藏文件,然后将chkrootkit使用的系统命令进行备份到这个目录下。为了安全起见,可以将.commands目录压缩打包,然后下载到一个安全的地方进行备份,以后如果服务器遭受***,就可以将这个备份上传到服务器任意路径下,然后通过chkrootkit命令的“-p”参数指定这个路径进行检测即可。
以上是关于rootkit后门检测工具chkrootkit的主要内容,如果未能解决你的问题,请参考以下文章