Rootkit
Hunter
中文名叫”Rootkit猎手”, 可以发现大约58个已知的rootkits和一些嗅探器和后门程序.
它通过执行一系列的脚本来确认你的机器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核模块等等.
Rootkit Hunter由Michael Boelen开发, 是开源(GPL)软件.
安装Rootkit
Hunter非常简单, 从网站软件包, 解压, 然后以root用户身份运行installer.sh脚本.
成功安装后, 你可以通过运行下面命令来检测你的机器是否已感染rootkit:
# rkhunter
-c
二进制可执行文件rkhunter被安装到/usr/local/bin目录,
你需要以root身份来运行该程序. 程序运行后, 它主要执行下面一系列的:
1. MD5校验测试, 检测任何文件是否改动.
2. 检测rootkits使用的二进制和系统工具文件.
3. 检测特洛伊木马程序的特征码.
4. 检测大多常用程序的文件异常属性.
5. 执行一些系统相关的测试
- 因为rootkit hunter可支持多个系统平台.
6. 扫描任何混杂模式下的接口和后门程序常用的端口.
7. 检测如/etc/rc.d/目录下的所有配置文件,
日志文件, 任何异常的隐藏文件等等. 例如, 在检测/dev/.udev和/etc/.pwd.lock文件时候, 我的系统被警告.
8. 对一些使用常用端口的应用程序进行版本测试.
如: Apache Web Server, Procmail等.
完成上面检测后, 你的屏幕会显示扫描结果:
可能被感染的文件, 不正确的MD5校验文件和已被感染的应用程序.