linux下后面检测工具chkrootkit的简单使用

Rootkit是一种具有隐蔽性的功能程序，通过Rootkit，攻击者可以控制被入侵的电脑。利用ChkrootkitL在inux系统下的查找检测Rootkit的工具。

Chkrootkit没有包含在官方的CentOS或Debian源，因此需要采取手动编译的方法来安装。因此还需要在系统中安装好gcc编译包

1.linux安装chkrootkit编译安装

yum -y install gcc

yum -y install gcc-c++

yum -y install make

debian系统运行下面两个命令

apt-get -y install gcc

apt-get -y install make

安装chkrootkit

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

解压

tar zxvf chkrootkit.tar.gz

cd chkrootkit-*

make sense编译安装

cd ..

cp -r chkrootkit-* /usr/local/chkrootkit 一般将安装的路径放在/usr

rm -rf chkrootkit-*

/usr/local/chkrootkit/chkrootkit 安装后chkrootkit 的路径

直接执行，查看输入结果

安装RKHunter

wget https://sourceforge.net/projects/rkhunter/files/latest/download/rkhunter-1.46.tar.gz

tar -zxvf rkhunter-1.46.tar.gz 解压

cd rkhunter-1.4.6

./installer.sh --layout default --install 默认安装

/usr/local/bin/rkhunter -c 运行此工具， 需要按回车键继续检测

第一部分是进行系统命令的检查，ok表示正常，warning 表示有异常，Not found 不用理会，

第二部分是检测常见的rootkit程序，

第三部分是一些特殊的附加检测

第四部分是对网络，系统端口，系统启动文件，系统用户，组配置，等等

第五部分是应用程序进行检测

第六部分是对上面输出的一个总结 

以下几种方法检测linux服务器是否被攻击：\x0d\x0a1、检查系统密码文件 \x0d\x0a首先从明显的入手，查看一下passwd文件，ls _l /etc/passwd查看文件修改的日期。 \x0d\x0a2、查看一下进程，看看有没有奇怪的进程 \x0d\x0a\x0d\x0a重点查看进程：ps _aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd _s \x0d\x0a/tmp/.xxx之类的进程，着重看inetd \x0d\x0a_s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中\x0d\x0a也仅仅是inetd \x0d\x0a_s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。\x0d\x0a3、检查系统守护进程 \x0d\x0a检查/etc/inetd.conf文件，输入：cat /etc/inetd.conf | grep _v “^#”，输出的信息就是这台机器所开启的远程服务。 \x0d\x0a一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。\x0d\x0a4、检查网络连接和监听端口 \x0d\x0a输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。 \x0d\x0a输入netstat _rn，查看本机的路由、网关设置是否正确。 \x0d\x0a输入 ifconfig _a，查看网卡设置。 \x0d\x0a5、检查系统日志 \x0d\x0a命令last | \x0d\x0amore查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系\x0d\x0a统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现\x0d\x0asyslog被非法动过，那说明有重大的入侵事件。 \x0d\x0a在linux下输入ls _al /var/log \x0d\x0a检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。 \x0d\x0a6、检查系统中的core文件 \x0d\x0a通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能\x0d\x0a100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core \x0d\x0a_exec ls _l {} \依据core所在的目录、查询core文件来判断是否有入侵行为。\x0d\x0a7、检查系统文件完整性 \x0d\x0a检查文件的完整性有多种方法，通常通过输入ls _l \x0d\x0a文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm _V \x0d\x0a`rpm _qf 文件名` \x0d\x0a来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man \x0d\x0arpm来获得更多的格式。

1、Avast Antivirus

这是全球知名的防病毒软件之一!它目前可用于企业，并且是一款付费软件。

Avast是整个列表中最好的病毒库之一，如果您打算购买防病毒软件来保护服务器安全，那将是一项不错的投资。

2、Chkrrotkit

Chkrootkit工具由Pangea Informatica开发，是一种轻量级的便携式防病毒程序。

它允许在Linux系统上检测rootkit，同时易于使用和快速，需要时可以从命令行轻松运行它。Chkrootkit还提供了一次管理和解决多个错误的功能。

3、ESET NOD32 Antirirus 4

通常，已经有一些测试将ESET NOD32 Antivirus

4作为Linux或Ubuntu用户的最佳防病毒选择。但是，这是该软件的付费版本，它提供了诸如深层恶意软件和间谍软件检测以及网络安全之类的功能。

ESET NOD 32 Antivirus 4通过自动更新为用户提供家庭和行业级别的保护。如果性能值得，您可以使用免费的限时试用版来自己评估。

4、F-PROT

Linux上的F-PROT提供可同时满足行业和家庭需求的服务，借助对32位和64位体系结构的支持，它可以保护用户免受超过2100万种威胁及其变种的威胁。

它由FRISK Software

International开发，是免费且可移植的。它允许扫描内部驱动器和驱动程序，也可以扫描木马，宏病毒和引导扇区病毒。

5、Panda Cloud Cleaner

Linux用户讨厌系统上不必要的软件占用资源，例如在后台24×7运行的防病毒软件就是这样一种程序。

为此，您可以考虑Panda Cloud

Cleaner，该软件可以按使用进行下载，然后从系统中删除。下载软件包后，只需通过chmod命令授予文件执行权限，然后运行文件即可。

---