linux Rootkit检查

最新推荐文章于 2024-07-23 13:43:06 发布
最新推荐文章于 2024-07-23 13:43:06 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjgaocp/article/details/102501376
版权
本文介绍了Linux系统下的Rootkit,这是一种强大的木马后门程序,通过隐藏进程、文件、网络端口等方式实现入侵。文章讲解了Rootkit的分类和原理,包括用户态和内核态Rootkit,并提供了利用Chkrootkit和Rkhunter两款工具进行检测的方法。通过安装和运行这些工具,可以检查系统是否被Rootkit感染,并分析扫描日志以确定潜在威胁。
摘要由CSDN通过智能技术生成

Rootkit是linux系统下常见一种木马后门程序,通过替换系统文件来达到隐藏和入侵的目的,攻击能力极强

Rootkit分类和原理:

  1. 隐藏进程
  2. 隐藏文件
  3. 隐藏网络端口
  4. 后门功能
  5. 键盘记录

Rootkit主要分一下两种

1 用户态:一般通过覆盖系统二进制和库文件来实现

2 内核态: 通常通过可加载内核模块将恶意代码直接加载进内核中

 

利用Chkrootkit检测Rootkit

Chkrootkit安装

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit-0.53.tar.gz

tar xf chkrootkit-0.53.tar.gz

cd chkrootkit-0.53

make sense

mv ../chkrootkit-0.53 /usr/local/chkrootkit

 

编译报错

make sense cc -static  -o strings-static strings.c /usr/bin/ld: cannot find -lc collect2: error: ld returned 1 exit status make: *** [strings-static] Error 1

解决

yum -y install glibc-static

 

Chkrootkit包含以下部分

chkproc 检查可加载内核模块木

最低0.47元/天 解锁文章
bjgaocp
关注
专栏目录
Linuxrootkit漏洞检查工具RootKit Hunter
不用此栏
07-20 4844
我們知道,要取得一部主機的所有權限,那就是需要取得該部主機的超級管理員 root 的權限! 所以一般黑客都會想盡辦法去取得 root 的權限的。那麼該如何取得 root 的權限呢? 最簡單的方法就是利用網路上流傳的 Root Kit 工具程式來進行入侵的動作了。由於 Root Kit 工具的取得相當的容易,因此難保我們一般使用者的主機不會被低級的怪客所干擾, 所以我們當然要想辦法保護我們自己的主機
介绍linux上两种rootkits检测工具: Rootkit Hunter和Chkrootkit
03-22 1913
本文主要介绍linux上检测rootkit的两种工具: Rootkit Hunter和Chkrootkit.Rootkit Hunter中文名叫”Rootkit猎手”, 可以发现大约58个已知的rootkits和一些嗅探器和后门程序. 它通过执行一系列的测试脚本来确认你的机器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核
LinuxRootkit的另类检测
weixin_33770878的博客
12-10 261
 LinuxRootkit的另类检测 当***获取管理员权限时,首先是抹掉***系统的相关记录,并且隐藏自己的行踪,要实现这一目的最常用的方法就是使用Rootkits,简单的说,Rootkits是一种经修改的***脚本、系统程序,用于在一个目标系统中非法获取系统的最高控制权限。Rootkits被广泛使用,它允许***者获得后门级访问。过去,Rootkits通常是替换操作系统中的正常二进制执行程...
Linux应急响应之Rootkit
最新发布
qq_22893055的博客
07-23 308
Rootkit是指其主要功能为:隐藏其他程序进程的软件,可能是一个或一个以上的软件组合。在今天,Rootkit一词更多地是指被作为驱动程序,加载到操作系统内核中的恶意软件。Rootkit在内核模块里找不到,那么就存在删除不掉的可能,这时候需要将感染系统以文件挂载到其它Linux系统上,进行清除操作。rhkhunter 配置。rootkit原理图。
如何检测Linux内核的Rootkit
Netfilter
04-12 3512
最近一段时间搞了些Rootkit攻略,每个方法都比较彻底,无论是隐藏进程,还是隐藏CPU利用率,隐藏TCP连接,隐藏文件,甚至隐藏CPU风扇的狂转,均采用了相对底层的方案,一般的Rootkit检测很难检测到。 所谓的一般的Rootkit就是那些通常的hook,比方说hook系统调用,hook proc/sys接口,hook library等等,但是这些均是掩耳盗铃的鸵鸟策略,均不彻底。针对这些Ro...
Linux下基于内存分析的Rootkit检测方法
weixin_34249678的博客
03-08 343
路人甲 · 2015/01/23 9:520x00 引言某Linux服务器发现异常现象如下图,确定被植入Rootkit,但运维人员使用常规Rootkit检测方法无效,对此情况我们还可以做什么?图1 被植入RootkitLinux服务器所有暗链的html文件ls均看不到。使用ls -al 绝对路径,能看到,但无法删除。这些暗链的uid和gid都很奇特 分别为 2511744398:40433612...
Linux Rootkit_evil_linux_rootkit_
10-02
Linux Rootkit,如"evil_linux_rootkit",是恶意软件的一种形式,专为Linux操作系统设计,主要用于隐藏攻击者在系统中的活动。Rootkit通常由黑客使用,以绕过安全措施,持续控制受感染的系统,并避免被常规的安全...
Linux rootkit detector-开源
07-17
"Linux rootkit detector - 开源"是指用于检测Linux系统中rootkit的开源软件。开源意味着源代码公开,允许社区成员查看、修改和分发代码,这有助于提高软件的安全性和可靠性,因为有更多的人可以审查代码并发现潜在...
Linux rootkit扫描工具(rkhunter1.4)
01-15
rkhunter(Rootkit Hunter)是一款强大的、免费的Linux系统rootkit检测工具,它可以检查系统中是否存在已知的rootkit、后门程序和潜在的安全弱点。rkhunter使用多种检测技术,包括文件校验和、系统调用检测、异常...
Linuxrootkit病毒专杀工具,linux系统下检测rootkit工具
weixin_30705125的博客
05-04 8970
linux系统下检测rootkit工具发布时间:2014-03-21 22:08:41来源:红联作者:tioced本文主要介绍linux系统下检测rootkit的两种工具: Rootkit Hunter和Chkrootkit.Rootkit Hunter中文名叫”Rootkit猎手”, 可以发现大约58个已知的rootkits和一些嗅探器和后门程序. 它通过执行一系列的测试脚本来确认你的机器是否已...
Linux入侵检测Rootkit
u012967763的专栏
01-05 325
1、rootkit Rootkit 是一种特殊类型的 malware(恶意软件)。Rootkit 的目的在于隐藏自己以及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的。Rootkit 几乎可以隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和 Remailer。许多 Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件...
应急响应--linux常用查杀工具:Rootkit查杀
xianjie0318的博客
07-09 4771
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit一词更多地是指被作为驱动程序,加载到操作系统内核中的恶意软件。 rootkit主要有两种类型:文件级别和内核级别。 文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代...
linux rootkit手动排查,Linux Rootkit如何避开内核检测的
weixin_35057850的博客
05-15 279
Rootkit在登堂入室并得手后,还要记得把门锁上。如果我们想注入一个Rootkit到内核,同时不想被侦测到,那么我们需要做的是精妙的隐藏,并保持低调静悄悄,这个话题我已经谈过了,诸如进程摘链,TCP链接摘链潜伏等等,详情参见:https://blog.csdn.net/dog250/article/details/105371830https://blog.csdn.net/dog250/art...
linux 安全 ***检测 杀毒 rootkit
weixin_34152820的博客
05-23 84
文件一致性检查aptitude install tripwire初始化tripwire --init检查tripwire --check --interactive -V vi安装杀毒软件aptitude install clamavrootkit检测工具ChkrootkitRootkit猎手都可以用apt安装 转载于:https://blog.51cto.com/...
Linux Rootkit之一:Linux Rootkit简介
Remy的学习记录
06-13 3420
1.1定义 Rootkit是一套由入侵者留在系统中的后门程序。Rootkit通常只有在系统已经被侵入并且获得root权限后才被安装进系统,并帮助入侵者长期控制系统,,搜集主机和网络信息,并隐藏入侵者的痕迹。也就是说,Rootkit需要持久并毫无察觉地驻留在目标系统中,对系统进行操纵、并通过隐秘渠道收集数据的程序。所以,Rootkit的三要素就是:隐藏、操纵、收集数据。不同的操作系统会有不同的Ro
linux 恶意软件检测,两款针对Linux系统Rootkit和恶意软件的有用检测工具
weixin_32593721的博客
05-03 1303
尽管Linux系统可以免受大多数恶意软件的传播感染,但也不是绝对安全的。如果你的数据中心架设有Linux服务器,尤其是网站服务器,则更应该对Rootkit木马和恶意软件严密防范,因为一些数据破坏类Rootkit非常危险,而且攻击者一旦入侵之后就可能会利用网站服务器进行恶意软件传播。如何排除这类风险隐患呢?一种方法就是使用正确的安全检查工具。我以Ubuntu Server 16.04系统为例,向大家...
应急响应篇 --自动化查杀Linux后门及Rootkit
春日野穹
05-26 2568
0x0引言~ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使 企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出 解决方案与防范措施,为企业挽或减少经济损失,本篇主要概述两款基于linux下病毒查杀的工具(河马、chkrootkit) 文章目录 河马 webshell扫描器 下载传送门 安装过程 实战演示 chkrootkit 下载传送门 安装过程 实战演示 河马 webshell扫描器 1.下载
如何检测linux rootkit病毒
03-21
检测 Linux Rootkit 病毒的方法有很多种,以下是一些常见的方法: 1. 使用 Rootkit Hunter 工具进行扫描和检测 2. 使用 Chkrootkit 工具进行扫描和检测 3. 使用 rkhunter 工具进行扫描和检测 4. 使用 Lynis 工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值