linux Rootkit检查

本文介绍了Linux系统下的Rootkit,这是一种强大的木马后门程序,通过隐藏进程、文件、网络端口等方式实现入侵。文章讲解了Rootkit的分类和原理,包括用户态和内核态Rootkit,并提供了利用Chkrootkit和Rkhunter两款工具进行检测的方法。通过安装和运行这些工具,可以检查系统是否被Rootkit感染,并分析扫描日志以确定潜在威胁。
摘要由CSDN通过智能技术生成

Rootkit是linux系统下常见一种木马后门程序,通过替换系统文件来达到隐藏和入侵的目的,攻击能力极强

Rootkit分类和原理:

  1. 隐藏进程
  2. 隐藏文件
  3. 隐藏网络端口
  4. 后门功能
  5. 键盘记录

Rootkit主要分一下两种

1 用户态:一般通过覆盖系统二进制和库文件来实现

2 内核态: 通常通过可加载内核模块将恶意代码直接加载进内核中

 

利用Chkrootkit检测Rootkit

Chkrootkit安装

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit-0.53.tar.gz

tar xf chkrootkit-0.53.tar.gz

cd chkrootkit-0.53

make sense

mv ../chkrootkit-0.53 /usr/local/chkrootkit

 

编译报错

make sense cc -static  -o strings-static strings.c /usr/bin/ld: cannot find -lc collect2: error: ld returned 1 exit status make: *** [strings-static] Error 1

解决

yum -y install glibc-static

 

Chkrootkit包含以下部分

chkproc 检查可加载内核模块木

  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值