rootkit检测、病毒查杀、webshell检测

已于 2022-03-08 14:41:46 修改
阅读量3.2k 收藏 8
点赞数
分类专栏: linux 安全 文章标签: 服务器 运维
于 2019-03-13 16:22:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guancong3412/article/details/88535331
版权

一、chkrootkit
1、下载rootkit
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
2、安装
tar xf chkrootkit.tar.gz
3、使用
cd chkrootkit-0.52/
./chkrootkit |grep INFECTED 没有出现INFECTED说明系统没有问题

二、rkhunter
1、下载rkhunter
wget http://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz 最新版本去官网下载
2、安装
./installer.sh --install
3、使用
rkhunter --update 扫描之前最好更新病毒库
rkhunter -c --sh

yum install rkhunter -y
安装后就可以使用rkhunter命令了,下面列出有用的参数:
–checkall (-c) #全系统检测,rkhunter的所有检测项目;
–createlogfile #建立登录档,一般预设放在/var/log/rkhunter.log;
–skip-keypress #忽略按键后继续的举动(程序会持续自动执行);
–versioncheck #检测试否有新的版本在服务器上;
接下来运行rkhunter --checkall,连续敲击回车,数分钟后得到报表,如图:
rkhunter --checkall

我们从分析报告可以看出,Rkhunter怀疑被篡改的文件有9个,怀疑rootkits有3个,具体再去/var/log/rkhunter/rkhunter.log中查看。
如果您不想要每个部分都以 Enter 来继续,想要让程序自动持续执行,可以使用:
rkhunter --check --sk
在这里插入图片描述
Rkhunter拥有并维护着一个包含rootkit特征的数据库,然后它根据此数据库来检测系统中的rootkits,所以可以对此数据库进行升级,rkhunter –update
rkhunter --update
那么简单来讲,RKhunter就像我们的杀毒软件,有着自己的病毒数据库,对每一个重点命令进行比对,当发现了可疑代码则会提示用户。

三、Clamav 病毒查杀
1、zlib依赖包安装
wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz
tar zxvf zlib-1.2.7.tar.gz
cd zlib-1.2.7
CFLAGS="-O3 -fPIC" ./configure --prefix=
/usr/local/zlib/
make && make make install
groupadd clamav
useradd -g clamav -s /bin/false
3、clamav安装
ClamAV的官方下载地址为http://www.clamav.net/download.html
mkdir /opt/clamav/logs
mkdir /opt/clamav/updata
chown clamav.clamav clamd.log
chown clamav.clamav freshclam.log
vim /opt/clamav
vim /opt/clamav/etc/clam.conf 注释第八行

/opt/clamac/bin/freshclam 更新病毒库

yum安装

yum install -y clamav
freshclam 更新病毒库
clamscan -r / --bell -i 扫描所有文件并显示有问题文件的结果
clamscan -r / 扫面素有文件并显示所有文件的扫面结果
clamsacn -r --remove / 扫面并清除
clamscan [选项] [路径] [文件]
–quiet 使用安静模式,仅仅打印出错误信息
-i 仅仅打印被感染的文件
-d<文件> 以指定的文件作为病毒库,一代替默认的/var/clamav目录下的病毒库文件
-l <文件> 指定日志文件,以代替默认的/var/log/clamav/freshclam.log文件
-r 递归扫描,即扫描指定目录下的子目录
–move=<目录> 把感染病毒的文件移动到指定目录
–remove 删除感染病毒的文件
扫描方法

clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
clamscan -r --remove /bin/
clamscan -r --remove /usr/bin/

查看日志发现
grep FOUND /root/etcclamav.log
有FOUND为病毒

四、河马webshell
1、下载
官网:http://www.shellpub.com
2、安装
wget -O hm-linux.tgz http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.5.0
tar xvf hm0linux.tgz
./hm update
./hm scan / 扫描根目录 一般只扫面web目录
cat result.csv 扫面结果

奔跑的犀牛丶
关注
专栏目录
PHP WebShell 免杀
悦分享
08-01 6010
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
安全事件应急响应工具箱
01-18 2万+
收集了一些常见的安全事件应急响应工具和资源列表,总收集47款实用工具,包括多引擎病毒检测病毒查杀、勒索病毒搜索引擎、webshell检测、在线沙箱、安全分析、流量分析和日志分析等工具。...
Rootkit Hunter恶意程序查杀
jklbnm12的博客
02-17 425
恶意程序,恶意代码检测,主要用来检测常规后门程序 下载:https://pkgs.org/search/rkhunter 安装:rpm -ivh rkunter* Installed: #需要先安装 lsof.x86_64 0:4.82-4.el6 mailx.x86_64 0:12.4-7.el6 检测系统: rkhunter -h #查看参数 -c #检测系统 –sk #跳过键盘输入 exp: rkhunter -c --sk \[root@m0p ~\]# rkhunter&nb
应急响应--linux常用查杀工具:Rootkit查杀
xianjie0318的博客
07-09 4766
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit一词更多地是指被作为驱动程序,加载到操作系统内核中的恶意软件。 rootkit主要有两种类型:文件级别和内核级别。 文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代...
常用在线 Webshell 查杀工具推荐
最新发布
m0_68483928的博客
08-06 786
这篇文章将介绍几款常用的在线 Webshell 查杀工具,包括长亭牧云、微步在线云沙箱、河马和VirusTotal。每个工具都有其独特的特点和优势,用于帮助用户有效检测和清除各类恶意 Webshell,保障网站和服务器的安全。文章将深入探讨它们的工作原理、适用场景及如何选择合适的工具来应对不同的安全挑战。
使用chkrootkit对系统进行rootkit扫描
m0_74540090的博客
05-10 1418
更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。的过程中使用了部分系统命令,因此,如果服务器被黑客入侵,那么依赖的系统命令可能也已经被入侵者替换,此时。使用的系统命令进行备份,在需要的时候使用备份的原始系统命令让。
Rootkit病毒
VBcom的专栏
04-27 4288
        Rootkit病毒是一类特殊的病毒,其最大的特点是“隐形”。采用Rootkit技术的病毒,虽然存在于系统中,但是通常情况下病毒文件本身是被隐藏起来的,根本无法通过资源管理器及各种普通的文件管理工具查看到。典型的Rootkit木马病毒,有著名的“Hxdef100”“C.I.A.”,国内的“AFXRootkit”“黑客之门”等。Rootkit木马可以在目标主机上将自身程序进行隐藏,同时
应急响应篇 --自动化查杀Linux后门及Rootkit
春日野穹
05-26 2554
0x0引言~ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使 企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出 解决方案与防范措施,为企业挽或减少经济损失,本篇主要概述两款基于linux下病毒查杀的工具(河马、chkrootkit) 文章目录 河马 webshell扫描器 下载传送门 安装过程 实战演示 chkrootkit 下载传送门 安装过程 实战演示 河马 webshell扫描器 1.下载
linux查杀病毒
weixin_46476861的博客
04-08 521
一、Rootkit查杀 chkrootkit rkhunter webshell查杀 河马webshell查杀:http://www.shellpub.com
浅谈安全攻防场景下面的安全检测
si1ence的博客
03-12 1044
0x0背景 安全本质是人与人之间的对抗,攻防技术的更新迭代促进了行业的发展。虽然都是做在安全技术的研究,但是发现其实二个方向的工作思路上还是有较大的区别;防御者从多个维度针对某一类攻击手法进行全面剖析提出一个能够覆盖大多数攻击场景下面的方案。攻击者往往在多次攻击测试之后,只需要有跳跃性思路能够利用一些出其不意的姿势从一些技术点上突破防御即可,攻防技术相辅相成,相互进步。笔者在机缘巧合下从一个...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 016-网络安全应急技术与实践(Web层-应急响应技术总结)
热门推荐
时光隧道
02-11 7万+
Web安全事件应急响应技术是指针对Web应用程序遭受风险和安全漏洞的事件,如网络攻击、数据泄露、恶意软件等,迅速采取措施进行监测、分析和应对的技术手段。应急响应技术描述1. 监测和日志分析通过实时监测和分析Web应用程序的日志,以便发现异常活动和潜在的安全威胁。2. 威胁情报收集与分析收集和分析来自多个来源的威胁情报,以帮助识别和应对潜在威胁。3. 漏洞扫描和漏洞管理通过定期对Web应用程序进行漏洞扫描,及时发现和修复潜在的安全漏洞。4. 网络流量分析。
chkrootkit.tar.gz
01-26
rootkit是入侵者经常使用的工具,这类工具可以隐秘、令用户不易察觉的建立了一条能够总能够入侵系统或者说对系统进行实时控制的途径.chkrootkit是可以查找系统是否被安装rootkit的工具,当然无法100%的查出,在系统被安装之后,或者说服务器开放之前就把它装好吧.
什么是Rootkit病毒
weixin_34008784的博客
09-16 2694
Rootkit是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序,比如弹出程序、广告软件或者间谍程序等。 大多数安全解决方案不能检测到它们并加以清除。因为Rootkit在操作系统中隐藏得很深并且是以碎片的形式存在。如果在清除过程中漏掉了任何一个相互关联的碎片,rootkit能够自我激活。 一般的病毒扫描通常是清除病毒程序的执行阶段,但是在重新启动操作系统后rootkit...
什么是 Rootkit
南北极之间
07-06 5220
常见的rootkit定义是一种恶意软件程序,它使网络犯罪分子能够在不被检测到的情况下访问和渗透计算机中的数据。它涵盖了旨在感染计算机,为攻击者提供远程控制并长时间保持隐藏的软件工具箱。因此,Rootkit是最难发现和删除的恶意软件之一,并且经常用于窃听用户和对计算机发起攻击。Rootkit恶意软件可以包含多个恶意工具,其中通常包括用于启动分布式拒绝服务(DDoS)攻击的机器人;可以禁用安全软件,窃取银行和信用卡详细信息以及窃取密码的软件;和击键记录器。Rootkit 通常为攻击者提供进入计算机的后门,使他们
病毒+蠕虫+bot+rootkit
qq_39249347的博客
02-10 1343
恶意软件类型 恶意软件大概分为两种类型:依附于宿主和独立于宿主程序。 前者被称为寄生程序,其本质不能独立于应用程序,实用程序,操作系统而独立存在的程序片段,例如,病毒,后门,逻辑炸弹。后者是可以被操作系统调度和执行的独立程序,例如,蠕虫和bot程序。 根据恶意软件是否进行复制划分:不进行复制的和进行复制的。 前者是触发执行的程序或程序片段,如逻辑炸弹,后门和bot程序。后者是一个程...
Linux入侵排查
eagle89的专栏
04-12 1652
Linux入侵排查
webshell查杀工具
Mick_小马哥
10-09 8561
D盾_Web查杀:http://www.d99net.net/index.asp 河马webshell查杀:http://www.shellpub.com 深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html Safe3:http://www.uusec.com/webshell.zip
php webshell 木马,消灭php webshell与一句话木马
weixin_35990136的博客
03-11 838
总体来讲,对php webshell和一句话木马的查杀,主要从三个方面进行1.Shell特征2.PHP安全方面的函数和变量以及安全配置选项3.语法检测首先,基于Shell特征,此方法主要针对base64_decode编码与gzinflate等参考特征库与匹配算法:Web Shell Detector v1.51,当前共有296个特征https://github.com/emposha/PH...
Linux平台下木马rootkit检测和防范
靠谱运维
07-20 1945
近些年来,在网络安全攻击中,高隐匿、高持久化的Rootkit技术成为黑客操控的主要手段,本文,我首先对Rootkit的几种类型进行介绍,主要让大家了解内核态Rootkit的高度定制化需求和Linux系统上存在的其他类型Rootkit,最后从攻防视角给出对Rootkit进行检测和防范的工具和方法。rootkit是Linux平台下最常见的一种木 马后门工具,它主要通过替换系统文件来达到攻 击和和隐蔽的目的,这种木 马比普通木 马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木 马。
虚拟机下的内核rootkit检测与恢复机制
"基于不变量保护的内核rootkit入侵检测和系统恢复,邓凌志,陈浩,孙建华。该研究提出了一种在虚拟机架构下结合内核不变量保护和快照回滚技术的rootkit入侵检测和系统恢复机制,以应对新型内核rootkit的威胁。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值