Rootkit Hunter
中文名叫”Rootkit猎手”, 可以发现大约58个已知的rootkits和一些嗅探器和后门程序. 它通过执行一系列的脚本来确认你的机器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核模块等等. Rootkit Hunter由Michael Boelen开发, 是开源(GPL)软件.
安装Rootkit Hunter非常简单, 从网站软件包, 解压, 然后以root用户身份运行installer.sh脚本.
成功安装后, 你可以通过运行下面命令来检测你的机器是否已感染rootkit:
# rkhunter -c
二进制可执行文件rkhunter被安装到/usr/local/bin目录, 你需要以root身份来运行该程序. 程序运行后, 它主要执行下面一系列的:
1. MD5校验测试, 检测任何文件是否改动.
2. 检测rootkits使用的二进制和系统工具文件.
3. 检测特洛伊木马程序的特征码.
4. 检测大多常用程序的文件异常属性.
5. 执行一些系统相关的测试 - 因为rootkit hunter可支持多个系统平台.
6. 扫描任何混杂模式下的接口和后门程序常用的端口.
7. 检测如/etc/rc.d/目录下的所有配置文件, 日志文件, 任何异常的隐藏文件等等. 例如, 在检测/dev/.udev和/etc/.pwd.lock文件时候, 我的系统被警告.
8. 对一些使用常用端口的应用程序进行版本测试. 如: Apache Web Server, Procmail等.
完成上面检测后, 你的屏幕会显示扫描结果: 可能被感染的文件, 不正确的MD5校验文件和已被感染的应用程序.
在我的机器上, 扫描用了175秒. 缺省情况下, rkhunter对系统进行已知的一些检测. 但是你也可以通过使用’–scan-knownbad-files’来执行未知的错误检测:
# rkhunter -c –scan-knownbad-files
rkhunter是通过一个含有rootkit名字的数据库来检测系统的rootkits漏洞, 所以经常更新该数据库非常重要, 你可以通过下面命令来更新该数据库:
# rkhunter –update
当然最好是通过cron job定期执行上面的命令, 你需要用root用户添加下面命令到crontab文件:
59 23 1 * * echo “Rkhunter update check in progress”;/usr/local/bin/rkhunter –update
上面一行告诉cron程序在每月第一天的下午11:59分执行rkhunter数据库更新工作, 而且你的root用户会收到一封结果通知邮件.
Chkrootkit
Chkrootkit由Nelson Murilo和Klaus Steding Jessen开发. 与Rootkit Hunter程序不同的是, chrootkit不需要installer安装程序, 你只需解开软件包后执行chrootkit即可, 然后将对一些二进制文件进行一系列的测试, 除了与Rootkit Hunter相同的测试外, Chkrootkit还对一些重要的二进制文件进行检测, 比如搜索入侵者已更改日志文件的特征信息等等. 而且, 如果你想列出已经测试的所有项目, 你可以运行带有’-l’参数的命令:
# chkrootkit -l
在测试过程中, 如果你想在屏幕上看到更多有用的信息, 执行下面命令:
# chkrootkit -x
chkrootkit将在专家模式(expert mode)运行.
点击下载
分享到:
相关推荐
本文对Linux平台下病毒的防范... 对于连接到 Internet 的 Linux 服务器,要定期检测 Linux 病毒,检查蠕虫和木马是否存在; 对于提供文件服务的 Linux 服务器,最好部署一款可以同时查杀 Windows 和 Linux 病毒的软件。
rootkit是Linux平台下常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对...
悬镜管家是一款专注于Linux服务器安全的主机加固软件,悬镜管家集安全体检、应用防护、木马查杀、资源监控、网络防护、主机防护等功能于一体,是Linux服务器安全运维好帮手,下面就让悬镜管家免费带您感受可触控的...
系统软件和本地软件,可以显示软件的详细信息,启动,删除应用程序.连接获取服务器上软件的评分信息等功能。程序锁可以指定要保护的程序, 用户进入要保护的程序之前必须输入密码。 任务管理: 显示当前系统运行的进程...
如瑞星杀毒软件网络版,可实现主机的远 程控制与管理,全网查杀病毒,防毒策略的定制与分发,网络和系统的漏洞检测与补丁分 发,灵活的客户端管理机制,全面的日志查询与统计功能等。( ) 在关键节点部署防病毒网关,...
57. iexpress-------木马捆绑工具,系统自带 58. fsmgmt.msc-----共享文件夹管理器 59. utilman--------辅助工具管理器 61. dcomcnfg-------打开系统组件服务 62. ddeshare-------打开DDE共享设置 63. osk-----...
一般来说,计算机系统本身的脆弱性和通信设施的脆弱性再加上网际协议的漏洞共同构成了网络的潜在威胁。随着无线互联网越来越普及的应用,互联网的安全性又很难在无线网上实施,因此,特别在构建内部网时,若忽略了...
数据包检查 15、许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞,对于这一威胁,最可靠 的解决方案是( ) A. 安装防病毒软件 B. 给系统安装最新的补丁 C. 安装防火墙 D. 安装入侵检测系统 16、计算机及网络病毒感染...
进制 13、下列选项中,不属于系统软件的是()。 A.Linux B.Office C.DOS D.Oracle 14、下列不属于Office2003中组件的是()。 A.word B.SQLserver C.excel D.powerpoint 15、CPU是()的简称。 A.中央处理器 B.高速...
Linux检查脚本.jpeg SAE运维体系.jpg SIEM系统的结构图.jpg TCP:IP参考模型的安全协议分层.jpg TCP:IP参考模型的安全服务与安全机制.jpg WPDRRC模型.jpg 业务运维.jpg 信息安全.jpg 安全事件.jpg 运维安全...
java 漏洞利用、Dexeter、blackpos、梳理论坛、ASM、撇渣器、假杀毒软件、android、ICQ、符号链接、Flash 漏洞利用、root、污损、黑客、回溯、apache、TDS、litespeed、linux、windows、asp、aspx、C#、 python、...
3695 网吧维护\Coyote Linux软件路由器的制做方法.txt 0 网吧维护\COYOTE2.10硬盘版制作完全攻略.txt 87047 网吧维护\hosts列表 1343 网吧维护\IE浏览器经典故障解决办法.txt 2163 网吧维护\Linux代理服务器制作傻瓜...
在调入类的时候进行检查,因而可以限制任何“特洛伊木马”的应用。 4:字节码(byte-code)校验 功能是对 class文件的代码进行校验,保证代码的安全。 Java软件代码在实际运行之前要经过几次测试。JWM将代码输入一个字节...