注册忘记密码

自学论坛

自学图文推荐

热门推荐:Win10Win8Win7/XPPS技术教程大全New资讯
查看: 3088|回复: 60

检查linux是否被入侵的工具-chkrootkit安装及使用教程

[复制链接]

98

主题

129

帖子

360

积分

中级会员

Rank: 3Rank: 3Rank: 3

积分
360
发表于 2015-2-8 00:17:26 | 显示全部楼层 |阅读模式

rootkit从浅显的层面来讲即一种具有自我隐蔽性的后门程序,它往往被入侵者作为一种入侵工具。通过rootkit,入侵者可以偷偷控制被入侵 的电脑,因此危害巨大。chkrootkit是一个Linux系统下的查找检测rootkit后门的工具。本文将介绍chkrootkit的安装与使用方法。
chkrootkit没有包含在官方的CentOS或Debian源,因此我们将采取手动编译的方法来安装,这种方式也更加安全。由于需要编译源代码,因此还需要在系统中安装好gcc编译包。

安装方法
1、准备gcc编译环境
对于CentOS系统,执行下述三条命令:
yum -y install gcc
yum -y install gcc-c++
yum -y install make
对于debian系统,执行下述两条命令:
apt-get -y install gcc
apt-get -y install make
2、下载chkrootkit源码
chkrootkit的官方网站为 www.chkrootkit.org ,下述下载地址为官方地址。为了安全起见,务必在官方下载此程序:
wget ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
3、解压下载回来的安装包
tar zxf chkrootkit.tar.gz
4、编译安装(后文命令中出现的“*”无需替换成具体字符,原样复制执行即可)

cd chkrootkit-*make sense

注意,上面的编译命令为make sense。

5、把编译好的文件部署到/usr/local/目录中,并删除遗留的文件

cd ..cp -r chkrootkit-* /usr/local/chkrootkitrm -r chkrootkit-*

至此,安装完毕。

使用方法

安装好的chkrootkit程序位于 /usr/local/chkrootkit/chkrootkit

直接执行

/usr/local/chkrootkit/chkrootkit./chkrootkit | grep INFECTED即可对系统rootkit进行全面扫面,并滚动显示出结果,如图:
让 chkrootkit 的监测自动化#!/bin/bashPATH=/usr/bin:/binTMPLOG=`mktemp`# Run the chkrootkit/usr/local/chkrootkit/chkrootkit > $TMPLOG# Output the logcat $TMPLOG | logger -t chkrootkit# bindshe of SMTPSllHow to do some wrongsif [ ! -z "$(grep 465 $TMPLOG)" ] && [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; thensed -i '/465/d' $TMPLOGfi# If the rootkit have been found,mail root[ ! -z "$(grep INFECTED $TMPLOG)" ] && grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" rootrm -f $TMPLOGchmod 700 chkrootkit  ← 赋予脚本可被执行的权限 mv chkrootkit /etc/cron.daily/  ← 将脚本移动到每天自动运行的目录中或定时执行chkrootkit 相关的系统命令的备份如前言所述,当chkrootkit使用的系统命令被入侵者更改后,chkrootkit对 rootkit的监测将失效。所以,我们事前将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始命令,让chkrootkit对 rootkit进行检测。
mkdir /root/commands/  ← 建立暂时容纳命令备份的目录cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/  ← (连续输入无换行)备份系统命令到建立好的目录/usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED  ← 用备份的命令运行chkrootkittar cvf /root/commands.tar /root/commands/ ← 将命令打包gzip /root/commands.tar  ← 将打包的文件压缩然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方rm -rf commands*   ← 为安全起见,删除服务器端备份的系统命令及相关文件  如果以后想通过备份的原始系统命令来运行chkrootkit的时候,只需用SCP软件将备份的命令打包压缩文件上传至服务器端已知位置并解压缩,然 后运行在chkrootkit的时候指定相应的目录即可。例如,假设已经将备份上传至root用户目录的情况如下:
tar zxvf /root/commands.tar.gz  ← 解开压缩的命令备份/usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED ← 用备份的命令运行chkrootkit然后在运行后删除相应遗留文件即可。



回复

使用道具 举报

0

主题

13

帖子

51

积分

注册会员

Rank: 2Rank: 2

积分
51
发表于 2015-5-10 17:16:05 | 显示全部楼层
很好哦
回复 支持 反对

使用道具 举报

0

主题

18

帖子

56

积分

注册会员

Rank: 2Rank: 2

积分
56
发表于 2015-5-10 17:18:38 | 显示全部楼层
自学论坛zixuebbs.com好记啊
回复 支持 反对

使用道具 举报

0

主题

15

帖子

53

积分

注册会员

Rank: 2Rank: 2

积分
53
发表于 2015-5-10 17:20:01 | 显示全部楼层
难得一见的好帖
回复 支持 反对

使用道具 举报

0

主题

13

帖子

51

积分

注册会员

Rank: 2Rank: 2

积分
51
发表于 2015-5-10 17:21:37 | 显示全部楼层
说的非常好
回复 支持 反对

使用道具 举报

0

主题

16

帖子

58

积分

注册会员

Rank: 2Rank: 2

积分
58
发表于 2015-5-10 18:01:11 | 显示全部楼层
很不错
回复 支持 反对

使用道具 举报

0

主题

17

帖子

59

积分

注册会员

Rank: 2Rank: 2

积分
59
发表于 2015-5-12 08:39:04 | 显示全部楼层
真心顶
回复 支持 反对

使用道具 举报

0

主题

15

帖子

53

积分

注册会员

Rank: 2Rank: 2

积分
53
发表于 2015-5-12 09:30:08 | 显示全部楼层
说的非常好
回复 支持 反对

使用道具 举报

0

主题

13

帖子

55

积分

注册会员

Rank: 2Rank: 2

积分
55
发表于 2015-5-13 11:14:40 | 显示全部楼层
不错不错
回复 支持 反对

使用道具 举报

0

主题

16

帖子

54

积分

注册会员

Rank: 2Rank: 2

积分
54
发表于 2015-5-13 11:36:44 | 显示全部楼层
九九自学也是你们的?
回复 支持 反对

使用道具 举报

0

主题

16

帖子

52

积分

注册会员

Rank: 2Rank: 2

积分
52
发表于 2015-5-13 11:41:26 | 显示全部楼层
真心顶
[url=http://www.polytechworks.com/documents/?RayBan2015-26]Cheap Ray Ban 4148 On
回复 支持 反对

使用道具 举报

0

主题

16

帖子

54

积分

注册会员

Rank: 2Rank: 2

积分
54
发表于 2015-5-13 11:52:33 | 显示全部楼层
自学就有提升,好着呢
回复 支持 反对

使用道具 举报

0

主题

13

帖子

55

积分

注册会员

Rank: 2Rank: 2

积分
55
发表于 2015-5-13 12:01:19 | 显示全部楼层
我经常来自学社区
回复 支持 反对

使用道具 举报

0

主题

16

帖子

52

积分

注册会员

Rank: 2Rank: 2

积分
52
发表于 2015-5-17 08:55:47 | 显示全部楼层
自学就有提升,好着呢
回复 支持 反对

使用道具 举报

0

主题

15

帖子

51

积分

注册会员

Rank: 2Rank: 2

积分
51
发表于 2015-5-17 09:42:38 | 显示全部楼层
真心顶
回复 支持 反对

使用道具 举报

0

主题

15

帖子

51

积分

注册会员

Rank: 2Rank: 2

积分
51
发表于 2015-5-17 09:43:51 | 显示全部楼层
不错不错
回复 支持 反对

使用道具 举报

0

主题

13

帖子

55

积分

注册会员

Rank: 2Rank: 2

积分
55
发表于 2015-5-17 10:45:22 | 显示全部楼层
有长见识了啊
回复 支持 反对

使用道具 举报

0

主题

15

帖子

54

积分

注册会员

Rank: 2Rank: 2

积分
54
发表于 2015-5-17 13:57:06 | 显示全部楼层
真心顶
回复 支持 反对

使用道具 举报

0

主题

15

帖子

53

积分

注册会员

Rank: 2Rank: 2

积分
53
发表于 2015-5-17 13:59:38 | 显示全部楼层
好帖子,赞一个,支持楼主
回复 支持 反对

使用道具 举报

0

主题

15

帖子

51

积分

注册会员

Rank: 2Rank: 2

积分
51
发表于 2015-5-17 14:08:08 | 显示全部楼层
自学就有提升,好着呢
回复 支持 反对

使用道具 举报

发表回复

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

快速回复 返回顶部 返回列表