如何反黑客后门程序

前言
  那什么，额不是最近国庆吗？因为疫情的缘故，我们都在家中，但发生了这么一件事，看到标题你应该知道是什么了，我被黑了！！！咳咳咳，不能说是被黑了，只能说是我下载了一个后门软件，对后门软件，比如说灰鸽子，流光这种，那边的黑客远程控制了我，我知道，这是最基础的软件了。但是我还是中了，最后，我的账号，密码都被盗取。很难受对吧，所以我写个这个文章。

如何防护这种后门，木马？
  很容易，不去下载就好了。哎，你这不是废话吗？咳咳，最好的方法，360。360？你在说什么？360不是毒瘤吗？360云大脑知道吗？虽然这个东西经常抽风，说这个是木马，那个是病毒。但是不去理就好了。不然你可试试不装360会怎么样，首先，我们要知道360的重要性，不然你可以换成卡巴斯基。咳咳，进入正题

360只是第一种方法
第二种linux，比如说ubuntu，本文用CentOS系统演示
防火墙软件，比如说天网
还有最后一个方法，按我说的做
第一种方法:360，腾讯电脑管家，火绒，卡巴斯基等杀毒
  360你不会装吗？笨蛋，自己找教程。

第二种方法：Linux下chkrootkit+RKHunter直接性防护
  第二种方法开始。rootkit听说过吗？没有就百度去

1. 文件级别rootkit
     文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后，通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后，合法的文件被木马程序替代，变成了外壳程序，而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等，其中login程序是最经常被替换的，因为当访问Linux时，无论是通过本地登录还是远程登录，/bin/login程序都会运行，系统将通过/bin/login来收集并核对用户的账号和密码，而rootkit就是利用这个程序的特点，使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login，这样攻击者通过输入设定好的密码就能轻松进入系统。此时，即使系统管理员修改root密码或者清除root密码，攻击者还是一样能通过root用户登录系统。攻击者通常在进入Linux系统后，会进行一系列的攻击动作，最常见的是安装嗅探器收集本机或者网络中其他服务器的重要数据。在默认情况下，Linux中也有一些系统文件会监控这些工具动作，例如ifconfig命令，所以，攻击者为了避免被发现，会想方设法替换其他系统文件，常见的就是ls、ps、ifconfig、du、find、netstat等。如果这些文件都被替换，那么在系统层面就很难发现rootkit已经在系统中运行了。

这就是文件级别的rootkit，对系统维护很大，目前最有效的防御方法是定期对系统重要文件的完整性进行检查，如果发现文件被修改或者被替换，那么很可能系统已经遭受了rootkit入侵。检查件完整性的工具很多，常见的有Tripwire、 aide等，可以通过这些工具定期检查文件系统的完整性，以检测系统是否被rootkit入侵。

2. 内核级别的rootkit
     内核级rootkit是比文件级rootkit更高级的一种入侵方式，它可以使攻击者获得对系统底层的完全控制权，此时攻击者可以修改系统内核，进而截获运行程序向内核提交的命令，并将其重定向到入侵者所选择的程序并运行此程序，也就是说，当用户要运行程序A时，被入侵者修改过的内核会假装执行A程序，而实际上却执行了程序B。

内核级rootkit主要依附在内核上，它并不对系统文件做任何修改，因此一般的检测工具很难检测到它的存在，这样一旦系统内核被植入rootkit，攻击者就可以对系统为所欲为而不被发现。目前对于内核级的rootkit还没有很好的防御工具，因此，做好系统安全防范就非常重要，将系统维持在最小权限内工作，只要攻击者不能获取root权限，就无法在内核中植入rootkit。

3. 主题
   了解，安装，准备，使用chkrootkit
   chkrootkit是一个Linux系统下查找并检测rootkit后门的工具，它的官方址: http://www.chkrootkit.org/。 chkrootkit没有包含在官方的CentOS源中，因此要采取手动编译的方法来安装，不过这种安装方法也更加安全。下面简单介绍下chkrootkit的安装过程。

准备gcc编译环境
对于CentOS系统，需要安装gcc编译环境，执行下述三条命令：

yum -y install gcc
yum -y install gcc-c++
yum -y install make

安装gcc,g++,CMake

安装chkrootkit
为了安全起见，建议直接从官方网站下载chkrootkit源码，然后进行安装，操作如下：

tar zxvf chkrootkit.tar.gz
cd chkrootkit-*
make sense

注意，上面的编译命令为make sense

使用chkrootkit
安装完的chkrootkit程序位于/usr/local/chkrootkit目录下，执行如下命令即可显示chkrootkit的详细用法：

/usr/local/chkrootkit/chkrootkit -h #显示帮助信息
chkrootkit各个参数的含义如下所示。

命令 作用
-h 显示帮助信息
-v 显示版本信息
-ddebug ddebug模式，显示检测过程的相关指令程序
-q 安静模式，只显示有问题的内容
-x 高级模式，显示所有检测结果
-r dir设置指定的目录为根目录
-p dir1:dir2:dirN指定chkrootkit检测时使用系统命令的目录
-n 跳过NFS连接的目录
chkrootkit的使用比较简单，直接执行chkrootkit命令即可自动开始检测系统。下面是某个系统的检测结果：

[root@server chkrootkit] # /usr/local/chkrootkit/chkrootkit
Checking ifconfig '... INFECTED Checking ls ‘… INFECTED
Checking login'... INFECTED Checking netstat ‘… INFECTED
Checking ps '... INFECTED Checking top ‘… INFECTED
Checking sshd'... no