RootKit 官方網站:http://www.rootkit.nl/
RootKit下載頁面: http://www.rootkit.nl/projects/rootkit_hunter.html
rootkit 是一些網路上流傳的功擊主機工具,為了要偵測主機是否已經被 Root Kit 之類的程式所攻擊, 由自由軟體撰寫團體所開發的 Root Kit Hunter, rkhunter 這個套件,就能幫我們偵測我們主機是否已經被入侵了。
rkhunte 可以幫我們做哪些事?
1.利用 MD5 指紋分析
2.檢查 rootkit 經常攻擊的檔案
3.檢查是否具有錯誤的檔案權限–針對 binary files
4.檢查隱藏檔案
5.檢查可疑的核心模組(LKM/KLD)
6.作業系統的特殊檢測
7.檢查已啟動的監聽埠號
8.特定分析(String scanner)
# wget http://downloads.rootkit.nl/rkhunter-1.2.8.tar.gz # tar zxvf rkhunter-1.2.8.tar.gz # cd ./rkhunter # ./installer.sh Installation ready. See /usr/local/rkhunter/lib/rkhunter/docs for more information. Run ‘rkhunter’ (/usr/local/bin/rkhunter) // 執行方法 |
// 常用功能
–checkall (-c) :全系統檢測,rkhunter 的所有檢測項目
–createlogfile :建立登錄檔,一般預設放在 /var/log/rkhunter.log
–cronjob :可以使用 crontab 來執行,不會有顏色顯示
–report-warnings-only :僅列出警告訊息,正常訊息不列出!
–skip-application-check :忽略套件版本檢測(如果您已確定系統的套件已patch)
–skip-keypress :忽略按鍵後繼續的舉動(程式會持續自動執行)
–quiet :僅顯示有問題的訊息,比 –report-warnings-only 更少訊息
–versioncheck :檢測試否有新的版本在伺服器上
–update :更新 rkhunter 的資料庫來取得最新的資訊
經過檢測有發現「紅字」,這時最好是重新安裝系統,或者到官方網站找尋解決之道 http://www.rootkit.nl/articles/rootkit_hunter_faq.html
參考鳥哥的Linux私房菜 http://linux.vbird.org/linux_security/0420rkhunter.php