rootkit入侵渗透防御

2019-06-25

字数统计: 636字 | 阅读时长≈ 2分

在常规的 “入侵/渗透” 检测工作中，Rootkit通常非常的隐秘、令用户不易察觉，所以，我们要用 chkrootkit 来定时监测系统，预防linux被rootkit程序入侵。

Rootkit Hunter (Rootkit 猎人)-项目地址：http://rkhunter.sourceforge.net/

Rootkit Hunter安装

wget http://sourceforge.net/projects/rkhunter/files/rkhunter/1.3.8/rkhunter-1.3.8.tar.gz/download
tar zxvf rkhunter-1.3.8.tar.gz
cd rkhunter-1.3.8
./installer.sh --install

帮助信息

Options:

-h 显示帮助信息

-V 显示版本信息

-l 显示测试内容

-d debug模式，显示检测过程的相关指令程序

-q 安静模式，只显示有问题部分，

-x 高级模式，显示所有检测结果

-p dir1:dir2:dirN 检测指定目录

-n 跳过NFS连接的目录

建立校对样本

1
2
3

rkhunter --propupd

ls /var/lib/rkhunter/db/rkhunter.dat 　　#样本文件位置

手动扫描

1 2	#手动扫描 rkhunter --check

1 2	# 如果您不想要每个部分都以 Enter 来继续，想要让程序自动持续执行，可以使用： rkhunter --check --sk

检测过程：

第一部分：检测系统二进制命令，主要检测系统的二进制文件，这些文件最容易被rootkit攻击；

[ OK ]表示正常；[ Warning ]表示有异常；[ None found ]未找到
第二部分：对rootkit常见攻击的文件/目录进行检测，包括网络服务使用的端口等等，检测是否存在常见的rootkit程序；

[ Not found ]表示未感染
第三部分：文件/目录附加检测、恶意软件检查以及Linux内核模块检查
第四部分：检测网络接口/后门端口/系统启动文件/系统用户和组/ssh配置/文件系统和隐藏文件/目录等
第五部分：总结服务器目前的安全状态。

检测结果记录在/var/log/rkhunter.log中，根据提示修复即可。

在线版本升级

#版本检查
rkhunter --versioncheck

#版本升级
rkhunter --update

定时扫描

cat /etc/cron.daily/rkhunter.sh

#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Daily Run' name@email.com

#注：扫描结果仅显示警告项，并且警告项基本均有改进提示

1	chmod 755 /etc/cron.daily/rkhunter.sh

木马再确认

把/var/log/rkhunter.log中所涉及的文件下载下来，使用在线杀毒检测。如果发现部分文件或程序确为木马，应及时采取相应预防措施。

在线杀毒网站:

virustotal官网：https://www.virustotal.com

本文作者： GaryWu
本文链接： https://garywu520.github.io/2019/06/25/rootkit入侵渗透防御/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true