rootkit 後門檢查工具 RKHunter

rkhunter簡介：

　　rkhunter 是 Linux 系統平臺下的一款開源入侵檢測工具，具備很是全面的掃描範圍，可以檢測各類已知的 rootkit 特徵碼之外，還支持端口掃描、經常使用程序文件的變更狀況檢查；

　　rkhunter 的官網位於 http://www.rootkit.nl  可是目前我不知道什麼緣由我打不開這個網站；

rootkit 是 Linux 平臺下最多見的一種木馬後門工具，它主要經過替換系統文件來達到入侵和隱藏的目的，這種木馬比普通木馬後門更加 危險 和 隱蔽；普通的檢測工具和檢查手段很難發現這種木馬。rootkit攻擊能力極強，對系統的危害很大，它經過一套工具來創建後門和隱藏行跡，從而讓攻擊者保住權限，以使它在任什麼時候候均可以使用root  權限登陸到系統。

　　rootkit主要有兩種類型：文件級別和內核級別。

  文件級別的 rootkit：通常是經過程序漏洞或者系統漏洞進入系統後，經過修改系統的重要文件來達到隱藏本身的目的。再系統遭受 rootkit 攻擊後，合法的文件被木馬程序替代，編變成了外殼程序，而其內部是隱藏着的後門程序。 一般容易被 rootkit 替換的系統程序有 login、ls、ps、ifconfig、du、find、netstat 等。文件級別的rootkit，對系統維護很大，目前最有效的防護方法是按期對系統重要文件的完整性進行檢查，如Tripwire、aide等。 

  內核級 rootkit：是比文件級 tootkit 更高級的一種入侵，它可使攻擊者得到對系統底層的徹底控制權，此時攻擊者能夠修改系統內核，進而截獲運行程序向內核提交的命令，並將其重定向到入侵者所選擇的程序並運行此程序。內核級rootkit主要依附在內核上，它並不對系統文件作任何修改。以防範。   

 1.下載、安裝rkhunter

[root@bogon src]# wget  http://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

安裝rkhunter

[root@bogon src]# tar -zxf rkhunter-1.4.2.tar.gz 
[root@bogon src]# cd rkhunter-1.4.2
[root@bogon rkhunter-1.4.2]# ./installer.sh --install

 2.爲基本系統程序創建校對樣本，建議系統安裝完成後就創建。

[root@bogon rkhunter-1.4.2]# rkhunter --propupd
[ Rootkit Hunter version 1.4.2 ]

[root@bogon rkhunter-1.4.2]# ls /var/lib/rkhunter/db/rkhunter.dat 　　#樣本文件位置
/var/lib/rkhunter/db/rkhunter.dat　　

 3.運行rkhunter檢查系統

 它主要執行下面一系列的測試:

    1. MD5校驗測試, 檢測任何文件是否改動.

    2. 檢測rootkits使用的二進制和系統工具文件.

    3. 檢測特洛伊木馬程序的特徵碼.

    4. 檢測大多經常使用程序的文件異常屬性.

    5. 執行一些系統相關的測試 - 由於rootkit hunter可支持多個系統平臺.

    6. 掃描任何混雜模式下的接口和後門程序經常使用的端口.

    7. 檢測如/etc/rc.d/目錄下的全部配置文件, 日誌文件, 任何異常的隱藏文件等等. 例如, 在檢測/dev/.udev和/etc/.pwd.lock文件時候, 個人系統被警告.

    8. 對一些使用經常使用端口的應用程序進行版本測試. 如: Apache Web Server, Procmail等.

執行檢測命令：

[root@bogon rkhunter-1.4.2]# rkhunter --check

若是您不想要每一個部分都以 Enter 來繼續，想要讓程序自動持續執行，可使用：

[root@bogon rkhunter-1.4.2]# /usr/local/bin/rkhunter --check --sk

  4.在線升級rkhunter

rkhunter是經過一個含有rootkit名字的數據庫來檢測系統的rootkits漏洞, 因此常常更新該數據庫很是重要, 你能夠經過下面命令來更新該數據庫:

[root@bogon rkhunter-1.4.2]# rkhunter --update

 5.檢測最新版本

讓 rkhunter 保持在最新的版本；

[root@bogon rkhunter-1.4.2]# rkhunter --versioncheck
[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter version...
  This version  : 1.4.2
  Latest version: 1.4.2

 

 6.一些解決思路

    若是您的系統通過 rkhunter 的檢測以後，卻發現不少的『紅字』時，該怎麼辦？很簡單， 能夠參考這個網頁提供的方法：

    http://www.rootkit.nl/articles/rootkit_hunter_faq.html

    基本上，官方網站與通常網管老手的建議都同樣，若是被 rootkit 之類的程序包攻擊後 ( 也就是上一節的檢測表中的第二部分所攻擊時 )，那麼最好最好直接從新安裝系統， 不要存在說能夠移除 rootkit 或者木馬程序的幻想，由於，『隱藏』原本就是 rootkit 與木馬程序的拿手好戲！ 咱們不知道到底這個 rootkit 或者木馬程序有多剽悍，爲了保險起見，仍是重灌系統吧！如何重灌？簡單的說：

    1.將原主機的網絡線拔除；

    2.備份您的數據，最好備份成兩部分，一部份是所有的系統內容，越詳盡越好，包括 binary files 與 logfile 等等， 至於另外一部份則能夠考慮僅備份重要的數據文件便可！

    3.將上個步驟的數據備份(僅重要數據部分！)進行總體的檢查，察看是否有怪異的數據存在(這部分可能會花去很多時間！)

    4.從新安裝一部完整的系統，這包括：

    o僅安裝須要的套件在服務器上面；

    o先進行 簡單的防火牆 設定後才進行聯機；

    o以 APT/YUM 之類的工具進行在線更新；

    o執行相似 rkhunter/nessus 之類的軟件，檢驗系統是否處在較爲安全的狀態

    5.將本來的重要數據移動至上個步驟安裝好的系統當中，並啓動本來服務器上面的各項服務；

    6.以 rkhunter/nessus 之類的軟件檢驗系統是否處在較爲安全的環境，而且增強防火牆的機制！

    7.最後，將本來完整備份的數據拿出來進行分析，尤爲是 logfile 部分，試圖找出 cracker 是藉由那個服務？那個時間點？ 以那個遠程 IP 聯機進入本機等等的信息，並針對該信息研擬預防的方法，並應用在已經運做的機器上。

 

 

本身學習用 學習於 https://www.cnblogs.com/cp-miao/p/6141025.html 這篇文章；