• 首页
• 网络知识
• seo优化
• 网络推广
• 网站建设
• 站长百科
• 短视频
• 竞价
• 民俗文化

　　3、使用chkrootkit

　　安装完的chkrootkit程序位于/usr/local/chkrootkit目录下，执行如下命令即可显示chkrootkit的详细用法

　　[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkit  -hchkrootkit各个参数的含义如下所示。

　　参数含义

　　-h显示帮助信息

　　-v显示版本信息

　　-l显示测试内容

　　-ddebug模式，显示检测过程的相关指令程序

　　-q安静模式，只显示有问题的内容

　　-x高级模式，显示所有检测结果

　　-r dir设置指定的目录为根目录

　　-p dir1:dir2:dirN指定chkrootkit检测时使用系统命令的目录-n跳过NFS连接的目录

　　chkrootkit的使用比较简单，直接执行chkrootkit命令即可自动开始检测系统。下面是某个系统的检测结果

复制代码代码如下:　　[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkitCheckg `ifconfig’… INFECTED
　　Checkg `ls’… INFECTED
　　Checkg `log’… INFECTED
　　Checkg `stat’… INFECTED
　　Checkg `ps’… INFECTED
　　Checkg `’… INFECTED
　　Checkg `sshd’… not fected
　　Checkg `syslogd’… not tested
　　Checkg `tar’… not fected
　　Checkg `tcpd’… not fected
　　Checkg `tcpdump’… not fected
　　Checkg `teld’… not found

　　从输出可以看出，此系统的ifconfig、ls、log、stat、ps和命令已经被感染。针对被感染rootkit的系统，最安全而有效的方法就是备份数据重新安装系统。

　　4、chkrootkit的缺点

　　chkrootkit在检查rootkit的过程中使用了部分系统命令，，如果服务器被黑客入侵，那么依赖的系统命令可能也已经被入侵者替换，此时chkrootkit的检测结果将变得完全不可信。为了避免chkrootkit的这个问题，可以在服务器对外开放前，事先将chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始系统命令让chkrootkit对rootkit进行检测。这个过程可以通过下面的操作实现

复制代码代码如下:　　[root@server ~]# mkdir /usr/share/.mands[root@server ~]# cp `which –skip-alias awk cut echo fd egrep id head ls stat ps strgs sed uname` /usr/share/.mands[root@server ~]# /usr/local/chkrootkit/chkrootkit -p /usr/share/.mands/[root@server share]# cd /usr/share/
　　[root@server share]# tar zcvf mands.tar.gz .mands[root@server share]# rm -rf mands.tar.gz

　　上面这段操作是在/usr/share/下建立了一个.mands隐藏文件，然后将chkrootkit使用的系统命令进行备份到这个目录下。为了安全起见，可以将.mands目录压缩打包，然后下载到一个安全的地方进行备份，以后如果服务器遭受入侵，就可以将这个备份上传到服务器任意路径下，然后通过chkrootkit命令的“-p”参数指定这个路径进行检测即可。

　　三、rootkit后门检测工具RKHunter

　　RKHunter是一款专业的检测系统是否感染rootkit的工具，它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方的资料中，RKHunter可以作的事情有

　　MD5校验测试，检测文件是否有改动

　　检测rootkit使用的二进制和系统工具文件

　　检测特洛伊木马程序的特征码

　　检测常用程序的文件属性是否异常

　　检测系统相关的测试

　　检测隐藏文件

　　检测可疑的核心模块LKM

　　检测系统已启动的监听端口

　　下面详细讲述下RKHunter的安装与使用。

　　1、安装RKHunter

　　RKHunter的官方网页地址为，建议从这个网站下载RKHunter，这里下载的版本是rkhunter-1.4.0.tar.gz。RKHunter的安装非常简单，过程如下

复制代码代码如下:　　[root@server ~]# ls
　　rkhunter-1.4.0.tar.gz
　　[root@server ~]# pwd
　　/root
　　[root@server ~]# tar -zxvf rkhunter-1.4.0.tar.gz[root@server ~]# cd rkhunter-1.4.0
　　[root@server rkhunter-1.4.0]# ./staller.sh –layout default –stall

　　这里采用RKHunter的默认安装方式，rkhunter命令被安装到了/usr/local/b目录下。

　　2、使用rkhunter指令

　　rkhunter命令的参数较多，使用非常简单，直接运行rkhunter即可显示此命令的用法。下面简单介绍下rkhunter常用的几个参数选项。

　　[root@server ~]#/usr/local/b/rkhunter–helpRkhunter常用参数以及含义如下所示。

　　参数             含义

　　-c, –check必选参数，表示检测当前系统

　　–configfile <file>使用特定的配置文件

　　–cronjob作为cron任务定期运行

　　–sk, –skip-keypress自动完成所有检测，跳过键盘输入–summary显示检测结果的统计信息

　　–update检测更新内容

　　-V, –version显示版本信息

　　–versioncheck检测最新版本

　　下面是通过rkhunter对某个系统的检测示例

　　[root@server rkhunter-1.4.0]# /usr/local/b/rkhunter   -c[ Rootkit Hunter version 1.4.0 ]

　　#下面是第一部分，先进行系统命令的检查，主要是检测系统的二进制文件，因为这些文件最容易被rootkit攻击。显示OK字样表示正常，显示Warng表示有异常，需要引起注意，而显示“Not found”字样，一般无需理会

复制代码代码如下:　　Checkg system mands…
　　Performg ‘strgs’ mand checks
　　Checkg ‘strgs’ mand [ OK ]
　　Performg ‘shared libraries’ checks
　　Checkg for preloadg variables [ None found ]
　　Checkg for preloaded libraries [ None found ]
　　Checkg LD_LIBRARY_PATH variable [ Not found ]
　　Performg file properties checks
　　Checkg for prerequisites [ Warng ]
　　/usr/local/b/rkhunter [ OK ]
　　/sb/chkconfig [ OK ]
　　….(略)….
　　[Press <ENTER> to contue]

　　#下面是第二部分，主要检测常见的rootkit程序，显示“Not found”表示系统未感染此

复制代码代码如下:　　rootkitCheckg for rootkits…
　　Performg check of known rootkit files and directories55808 Trojan – Variant A [ Not found ]
　　ADM Worm [ Not found ]
　　AjaKit Rootkit [ Not found ]
　　Adore Rootkit [ Not found ]
　　aPa Kit [ Not found ]
　　Apache Worm [ Not found ]
　　Ambient (ark) Rootkit [ Not found ]
　　Balaur Rootkit [ Not found ]
　　BeastKit Rootkit [ Not found ]
　　beX2 Rootkit [ Not found ]
　　BOBKit Rootkit [ Not found ]
　　….(略)….
　　[Press <ENTER> to contue]

　　#下面是第三部分，主要是一些特殊或附加的检测，例如对rootkit文件或目录检测、对恶意软件检测以及对指定的内核模块检测

复制代码代码如下:　　Performg additional rootkit checks
　　Suckit Rookit additional checks [ OK ]
　　Checkg for possible rootkit files and directories [ None found ]
　　Checkg for possible rootkit strgs [ None found ]
　　Performg malware checks
　　Checkg runng processes for suspicious files [ None found ]
　　Checkg for log backdoors [ None found ]
　　Checkg for suspicious directories [ None found ]
　　Checkg for sniffer log files [ None found ]
　　Performg Lux specific checks
　　Checkg loaded kernel modules [ OK ]
　　Checkg kernel module names [ OK ]
　　[Press <ENTER> to contue]

　　#下面是第四部分，主要对网络、系统端口、系统启动文件、系统用户和组配置、SSH配置、文件系统等进行检测

复制代码代码如下:　　Checkg the work…
　　Performg checks on the work ports
　　Checkg for backdoor ports [ None found ]
　　Performg checks on the work terfacesCheckg for promiscuous terfaces [ None found ]
　　Checkg the local host…
　　Performg system boot checks
　　Checkg for local host name [ Found ]
　　Checkg for system startup files [ Found ]
　　Checkg system startup files for malware [ None found ]
　　Performg group and aount checks
　　Checkg for passwd file [ Found ]
　　Checkg for root equivalent (UID 0) aounts [ None found ]
　　Checkg for passwordless aounts [ None found ]
　　….(略)….
　　[Press <ENTER> to contue]

　　#下面是第五部分，主要是对应用程序版本进行检测

复制代码代码如下:　　Checkg application versions…
　　Checkg version of GnuPG[ OK ]
　　Checkg version of OpenSSL [ Warng ]
　　Checkg version of OpenSSH [ OK ]

　　#下面是一部分，这个部分其实是上面输出的一个，通过这个，可以大概了解服务器目录的安全状态。

复制代码代码如下:　　System checks summary
　　=====================
　　File properties checks…
　　Required mands check failed
　　Files checked: 137
　　Suspect files: 4
　　Rootkit checks…
　　Rootkits checked : 311
　　Possible rootkits: 0
　　Applications checks…
　　Applications checked: 3
　　Suspect applications: 1
　　The system checks took: 6 mutes and 41 seconds

　　在Lux终端使用rkhunter来检测，最大的好处在于每项的检测结果都有不同的颜色显示，如果是绿色的表示没有问题，如果是红色的，那就要引起关注了。，在上面执行检测的过程中，在每个部分检测完成后，需要以Enter键来继续。如果要让程序自动运行，可以执行如下命令

　　[root@server ~]# /usr/local/b/rkhunter –check –skip-keypress，如果想让检测程序每天定时运行，那么可以在/etc/crontab中加入如下内容

　　30 09 root /usr/local/b/rkhunter –check –cronjob这样，rkhunter检测程序就会在每天的9:30分运行一次。

　　安全更新

　　今天刚刚爆出Bash安全漏洞，SSH bash紧急安全补丁！重要！

　　测试是否存在漏洞，执行以下命令

　　$ env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test”

　　vulnerable

　　this is a test

　　如果显示如上，那么，很遗憾，必须立即打上安全补丁修复，临时解决办法为

　　yum -y update bash

　　升级bash后，执行测试

复制代码代码如下:　　$ env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test”
　　bash: warng: x: ignorg function defition attemptbash: error importg function defition for `x’
　　this is a test

　　如果显示如上，表示已经修补了漏洞。

　　以上就是Lux后门入侵检测工具以及最新bash漏洞解决方法，谢谢阅读，希望能帮到大家，请继续关注脚本之家，我们会努力分享更多优秀的文章。

• seo网络推广搜索

• 推火网导航

• seo

  • 过期域名有价值吗 抢注过期域名的几大注意事项
  • 域名注册去哪个网站好 如何辨别哪个网站好
  • 洛浦百度关键词排名的优化策略与实战技巧
  • 台南网站优化公司 提升您网站曝光率的最佳选择
  • 广州服务器托管有什么要注意的地方

• 网络推广

  • 1妈妈今晚就是你的生日礼物
  • 2房中术十三式图解，古代夫妻X生活姿势大全(二
  • 3一个挺身刺破了最后一层障碍
  • 4女人十大名器详解图，不一样的形状不一样的感
  • 5蘑菇头退出《陈翔六点半》单飞发展了吗？蘑菇

• 网络营销

  网易厦门数字产业中心“游戏出海”专项培育启
  这3个思维定式，将我们牢牢困住
  Linux中用grep命令来搜索单词及统计匹配的行数
  今年的五一疯了吗
  房产证上千万别写2个人名字（房产证上千万别写