rkhunter 安装使用 – 作者:Vuibox

rkhunter简介：

中文名叫”Rootkit猎手”,

rkhunter是Linux系统平台下的一款开源入侵检测工具，具有非常全面的扫描范围，除了能够检测各种已知的rootkit特征码以外，还支持端口扫描、常用程序文件的变动情况检查。

rootkit是什么？

rootkit是Linux平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐藏行迹，从而让攻击者保住权限，以使它在任何时候都可以使用root  权限登录到系统。

rootkit主要有两种类型：文件级别和内核级别。

文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后，通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后，合法的文件被木马程序替代，变成了外壳程序，而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit，对系统维护很大，目前最有效的防御方法是定期对系统重要文件的完整性进行检查，如Tripwire、aide等。 

内核级rootkit: 是比文件级rootkit更高级的一种入侵方式，它可以使攻击者获得对系统底层的完全控制权，此时攻击者可以修改系统内核，进而截获运行程序向内核提交的命令，并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上，它并不对系统文件做任何修改。以防范

为主。

第2步：安装Rkhunter

一旦你已经下载了最新版本，以root用户来安装它运行以下命令。

# tar -xvf rkhunter-1.4.6.tar.gz # cd rkhunter-1.4.6 # ./installer.sh –layout default –install

第3步：更新Rkhunter

运行RKH更新通过运行以下命令来填充数据库属性。

# /usr/local/bin/rkhunter –update # /usr/local/bin/rkhunter –propupd

第4步：设置Cronjob和电子邮件警报

创建名为下/etc/cron.daily/ rkhunter.sh文件，然后每天会扫描你的文件系统，并发送电子邮件通知到您的电子邮件ID。 在您喜欢的编辑器的帮助下创建以下文件。

# vim /etc/cron.daily/rkhunter.sh

添加以下代码行，并与你的“ 电子邮件ID”替换“YourServerNameHere”与“ 服务器名称 ”和“[email protected]”。

#!/bin/sh ( /usr/local/bin/rkhunter –versioncheck /usr/local/bin/rkhunter –update /usr/local/bin/rkhunter –cronjob –report-warnings-only ) | /bin/mail -s ‘rkhunter Daily Run (PutYourServerNameHere)’ [email protected]

对文件设置执行权限。

# chmod 755 /etc/cron.daily/rkhunter.sh

第5步：手动扫描和使用

要扫描整个文件系统，运行Rkhunter作为根用户。

# rkhunter –check

示例输出

[ Rootkit Hunter version 1.4.6 ] Checking system commands… Performing ‘strings’ command checks Checking ‘strings’ command [ OK ] Performing ‘shared libraries’ checks Checking for preloading variables [ None found ] Checking for preloaded libraries [ None found ] Checking LD_LIBRARY_PATH variable [ Not found ] Performing file properties checks Checking for prerequisites [ OK ] /usr/local/bin/rkhunter [ OK ] /usr/sbin/adduser [ OK ] /usr/sbin/chkconfig [ OK ] /usr/sbin/chroot [ OK ] /usr/sbin/depmod [ OK ] /usr/sbin/fsck [ OK ]

上述命令下与Rkhunter做出的检查结果/var/log/rkhunter.log生成日志文件。

# cat /var/log/rkhunter.log

示例输出

03:33:40] Running Rootkit Hunter version 1.4.6on server [03:33:40] [03:33:40] Info: Start date is Tue May 31 03:33:40 EDT 2020 [03:33:40] [03:33:40] Checking configuration file and command-line options… [03:33:40] Info: Detected operating system is ‘Linux’ [03:33:40] Info: Found O/S name: CentOS Linux release 7.2.1511 (Core) [03:33:40] Info: Command line is /usr/local/bin/rkhunter –check [03:33:40] Info: Environment shell is /bin/bash; rkhunter is using bash [03:33:40] Info: Using configuration file ‘/etc/rkhunter.conf’ [03:33:40] Info: Installation directory is ‘/usr/local’

有关更多信息和选项，请运行以下命令。

# rkhunter –help