Linux下rootkit恶意软件安全检测工具Rootkit Hunter

by Web全栈工程师 on 2014 年 06 月 24 日

Rootkit

Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。如果有相应的权限进入系统后,他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。他通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中信息。用rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入系统了。

 Rootkit Hunter

简单的说下,linux下的杀毒软件,但是只具有检测功能,不具备杀毒功能。得手动进行查杀。

 

Rootkit Hunter的功能

1,检测系统重要的文档的MD5码,保证文件的完整性。
自身的MD5码与官方的MD5码进行比对,一样的话就没有被攻击。
2,检测易受攻击的文件
因为Rootkit为了达到效果取得系统的控制权限,他们会主动更改一些文档,最重要的是一些特别重要的文档。所以,你进行Hunter的检测这些文档,就可以发现有么被Rootkit攻击。
3,检测隐藏文件
Linux的隐藏文件都是在名称前面加一个“.”攻击者可以通过这些隐藏文见来隐藏他的主程序,同样使用Hunter可以分析进行查找
4,检测重要文件的权限
一些重要的文件权限,如;/bin/ls具有755权限,而许多木马程序做了更改之后会成为777的权限,从中可以判断是不是有问题
5,检测内核模块
linux的核心功能具有LKM性(Loadable Kernel Module),系统做什么由其决定。
6,检测系统端口号
7,检测木马常攻击的文件
一些特定的木马或后门,会在系统上建立一个特殊的文档,这些文档名是不变的

Rootkit Hunter下载、安装

官方主页地址:http://www.rootkit.nl/projects/rootkit_hunter.html

wget http://hivelocity.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
tar -zxvf rkhunter-1.4.2.tar.gz
cd rkhunter-1.4.2
./installer.sh --layout default --install

Rootkit Hunter使用

执行以下命令,如果检测中出现红色字体,需要留心了

rkhunter --checkall

一共会检查以下5部分内容:
第一部分:检测重要文件的MD5码
第二部分:检测常见rootkit攻击文件和目录
第三部分:检测常见木马端口
第四部分:检测本机信息
第五部分:检测安全套件
总结信息

RootKit Hunter的升级

rkhunter --update

Comments on this entry are closed.

Previous post:

Next post: