Rootkit是linux系统下常见一种木马后门程序,通过替换系统文件来达到隐藏和入侵的目的,攻击能力极强
Rootkit分类和原理:
- 隐藏进程
- 隐藏文件
- 隐藏网络端口
- 后门功能
- 键盘记录
Rootkit主要分一下两种
1 用户态:一般通过覆盖系统二进制和库文件来实现
2 内核态: 通常通过可加载内核模块将恶意代码直接加载进内核中
利用Chkrootkit检测Rootkit
Chkrootkit安装
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit-0.53.tar.gz
tar xf chkrootkit-0.53.tar.gz
cd chkrootkit-0.53
make sense
mv ../chkrootkit-0.53 /usr/local/chkrootkit
编译报错
make sense cc -static -o strings-static strings.c /usr/bin/ld: cannot find -lc collect2: error: ld returned 1 exit status make: *** [strings-static] Error 1
解决
yum -y install glibc-static
Chkrootkit包含以下部分
chkproc 检查可加载内核模块木