1.rootkit简介
rootkit是linux平台下最常见的一种木马后门工具,它主要是通过替换系统文件来达到入侵和隐藏的目的。rootkit主要分为文件级别的和内核级别的,文件级别的主要是通过程序或者系统漏洞进入系统,通过修改重要的文件达到隐藏自己的目的。内核级别的是更高级的入侵,它可以是攻击者获取系统底层的完全控制,此时攻击者可以修改系统内核,进而截获运行程序向内核提供的命令,并将其重定向到入侵者所选择的程序并运行此程序。
2.简单检测工具chkrootkit
下载chkrootkit.tar.gz
编译:执行make sense
将编译好的chkrootkit目录拷贝到/usr/local/chkrootkit/下
执行检测结果如下:
chkrootkit存在的缺点是,检测用的了部分系统命令,如果命令被篡改,那就意味着结果不可靠,所以可以考虑在系统对外开放前对系统命令进行备份,在需要的时候用备份命令进行检测。
3.rootkit检测工具RKHunter
RKHunter是专业检测系统是否感染rootkit的一个工具,通过执行一系列脚本来确认系统是否感染rootkit。它可以做的事情如下:
md5校验检测,检测文件是否有改动
检测rootkit使用的二进制和系统工具文件
检测特洛伊木马程序的特征码
检测常用程序文件属性是否异常
检测隐藏文件
检测可疑的核心模块LKM
检测系统已启动的监听端口
具体使用很简单,就不多说了
参考《高性能linux服务器构建实战》
扫一扫
449
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
