LINUX下rootkit***侦测文档
#######################################################################

wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.3.8/rkhunter-1.3.8.tar.gz
tar zvfx rkhunter-1.3.8.tar.gz
cd rkhunter-1.3.8
./installer.sh --install 
./installer.sh --show


注释:
./installer.sh --install  是用来安装程序
./installer.sh --show     是用来显示安装后的程序路径

[root@master rkhunter-1.3.8]# ./installer.sh --show
Install into:       /usr/local
Application:        /usr/local/bin
Configuration file: /etc
Documents:          /usr/local/share/doc/rkhunter-1.3.8
Man page:           /usr/local/share/man/man8
Scripts:            /usr/local/lib/rkhunter/scripts
Databases:          /var/lib/rkhunter/db
Temporary files:    /var/lib/rkhunter/tmp

#系统检查
/usr/local/bin/rkhunter --checkall  

[root@test root]# /usr/local/bin/rkhunter --help
--checkall (-c)           #全系统检查
--createlogfile           #建立登陆档一般是在 /var/log/rkhunter.log
--cronjob                 #可以使用 crontab来执行,不会有颜色显示
--report-warnings-only    #仅列出警告,正常信息不列出
--skip-application-check  #忽略套件版本检测 (如果您已经确定系统的套件已patch)
--skip-keypress           #忽略按键后的举动(程式会自动执行)
--quiet                   #仅列出有问题的信息,比 --report-warnings-only更少信息
--versioncheck            #检测是否有新的版本

rkhunter --update         #检查更新
rkhunter --versioncheck   #检查版本
/usr/local/bin/rkhunter --checkall --skip-keypress #避免每次都去敲击Enter键
10 3 * * * root /usr/local/bin/rkhunter --checkall --cronjob #自动执行脚本;

binary file #二进制文件
是一个必须能够提前被程序或硬件处理器识别从而知道其存储形式的文件。也就是说,文件不能用外部才能识别的文件格式存储,
以便任何程序都可以随时读取其中任何位置的内容。一个程序(或处理器)必须能够清楚知道文件内部数据的布局,这样才能使
用这些文件。总的来说,可执行程序通常被认作是二进制文件,并被系统赋予一个.bin的后缀。程序员通常也将可执行文件指代
为"二进制"文件。在传输文件的过程中,一个文件也能够以"二进制"的形式传输,这意味着相关的处理程序并不尝试读取文件内
部的内容,而只是按照"0"和"1"的顺序传输数据,任何网络设备都无法知道这些数字具体的意思。


如果遇到此类的***,最好的办法就是重装系统。