rkhunter簡介:
中文名叫”Rootkit獵手”,
rkhunter是Linux系統平臺下的一款開源***檢測工具,具有非常全面的掃描範圍,除了能夠檢測各種已知的rootkit特徵碼以外,還支持端口掃描、常用程序文件的變動情況檢查。
rkhunter的官方網站位於http://www.rootkit.nl/,目前最新的版本是rkhunter-1.4.0。
rootkit是什麼?
Rootkit是什麼?估計很多朋友並不明白,簡單的說,Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息,比較多見到的是Rootkit一般都和***、後門等其他惡意程序結合使用。
Rootkit通過加載特殊的驅動,修改系統內核,進而達到隱藏信息的目的。
1.下載、安裝rkhunter
下載
http://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.0/rkhunter-1.4.0.tar.gz
安裝rkhunter
執行命令:
tar -xvf rkhunter-1.4.0.tar.gz
cd rkhunter-1.4.0
./installer.sh --install
2.爲基本系統程序建立校對樣本,建議系統安裝完成後就建立。
執行命令:
rkhunter --propupd
ls /var/lib/rkhunter/db/rkhunter.dat #樣本文件位置
3.運行rkhunter檢查系統
它主要執行下面一系列的測試:
1. MD5校驗測試, 檢測任何文件是否改動.
2. 檢測rootkits使用的二進制和系統工具文件.
3. 檢測特洛伊***程序的特徵碼.
4. 檢測大多常用程序的文件異常屬性.
5. 執行一些系統相關的測試 - 因爲rootkit hunter可支持多個系統平臺.
6. 掃描任何混雜模式下的接口和後門程序常用的端口.
7. 檢測如/etc/rc.d/目錄下的所有配置文件, 日誌文件, 任何異常的隱藏文件等等. 例如, 在檢測/dev/.udev和/etc/.pwd.lock文件時候, 我的系統被警告.
8. 對一些使用常用端口的應用程序進行版本測試. 如: Apache Web Server, Procmail等.
執行命令:
rkhunter --check
如果您不想要每個部分都以 Enter 來繼續,想要讓程序自動持續執行,可以使用:
/usr/local/bin/rkhunter --check --sk
[ Rootkit Hunter version 1.4.0 ]
Checking system commands...
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
中間內容省略。。。。。
The system checks took: 2 minutes and 39 seconds
All results have been written to the log file (/var/log/rkhunter.log)
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log) #檢測日誌文件位置
4.在線升級rkhunter
rkhunter是通過一個含有rootkit名字的數據庫來檢測系統的rootkits漏洞, 所以經常更新該數據庫非常重要, 你可以通過下面命令來更新該數據庫:
執行命令:
rkhunter --update
……//省略部分信息
5.檢測最新版本
讓 rkhunter 保持在最新的版本;
執行命令:
rkhunter --versioncheck
6.一些解決思路
如果您的系統經過 rkhunter 的檢測之後,卻發現很多的『紅字』時,該怎麼辦?很簡單, 可以參考這個網頁提供的方法:
http://www.rootkit.nl/articles/rootkit_hunter_faq.html
基本上,官方網站與一般網管老手的建議都一樣,如果被 rootkit 之類的程序包***後 ( 也就是上一節的檢測表中的第二部分所***時 ),那麼最好最好直接重新安裝系統, 不要存在說可以移除 rootkit 或者***程序的幻想,因爲,『隱藏』本來就是 rootkit 與***程序的拿手好戲! 我們不知道到底這個 rootkit 或者***程序有多剽悍,爲了保險起見,還是重灌系統吧!如何重灌?簡單的說:
1.將原主機的網絡線拔除;
2.備份您的數據,最好備份成兩部分,一部份是全部的系統內容,越詳盡越好,包括 binary files 與 logfile 等等, 至於另一部份則可以考慮僅備份重要的數據文件即可!
3.將上個步驟的數據備份(僅重要數據部分!)進行整體的檢查,察看是否有怪異的數據存在(這部分可能會花去不少時間!)
4.重新安裝一部完整的系統,這包括:
o僅安裝需要的套件在服務器上面;
o先進行 簡單的防火牆 設定後才進行聯機;
o以 APT/YUM 之類的工具進行在線更新;
o執行類似 rkhunter/nessus 之類的軟件,檢驗系統是否處在較爲安全的狀態
5.將原本的重要數據移動至上個步驟安裝好的系統當中,並啓動原本服務器上面的各項服務;
6.以 rkhunter/nessus 之類的軟件檢驗系統是否處在較爲安全的環境,並且加強防火牆的機制!
7.最後,將原本完整備份的數據拿出來進行分析,尤其是 logfile 部分,試圖找出 cracker 是藉由那個服務?那個時間點? 以那個遠程 IP 聯機進入本機等等的信息,並針對該信息研擬預防的方法,並應用在已經運作的機器上。
參考資料:
http://www.sybell.com.cn/jszx/509.html
http://blog.csdn.net/nengyu/article/details/1604646
http://linux.vbird.org/linux_security/0420rkhunter.php