rkhunter 安装使用 – 作者:Vuibox

rkhunter简介:

中文名叫”Rootkit猎手”,

rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。

rootkit是什么?
rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root  权限登录到系统。
rootkit主要有两种类型:文件级别和内核级别。
文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwire、aide等。 
内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。以防范
为主。

在Linux系统中安装Rootkit Hunter Scanner

第1步:下载Rkhunter

首先要下载Rkhunter工具的最新的稳定版本http://www.rootkit.nl/projects/rootkit_hunter.html或者使用下面的命令Wget的下载它在你的系统中。

# cd /tmp # wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz

或重官网下载:使用rz上传到Linux服务器上

第2步:安装Rkhunter

一旦你已经下载了最新版本,以root用户来安装它运行以下命令。

# tar -xvf rkhunter-1.4.6.tar.gz # cd rkhunter-1.4.6 # ./installer.sh –layout default –install

图片[1]-rkhunter 安装使用 – 作者:Vuibox-安全小百科图片[2]-rkhunter 安装使用 – 作者:Vuibox-安全小百科

第3步:更新Rkhunter

运行RKH更新通过运行以下命令来填充数据库属性。

# /usr/local/bin/rkhunter –update # /usr/local/bin/rkhunter –propupd

图片[3]-rkhunter 安装使用 – 作者:Vuibox-安全小百科

第4步:设置Cronjob和电子邮件警报

创建名为下/etc/cron.daily/ rkhunter.sh文件,然后每天会扫描你的文件系统,并发送电子邮件通知到您的电子邮件ID。 在您喜欢的编辑器的帮助下创建以下文件。

# vim /etc/cron.daily/rkhunter.sh

添加以下代码行,并与你的“ 电子邮件ID”替换“YourServerNameHere”与“ 服务器名称 ”和“[email protected]”。

#!/bin/sh ( /usr/local/bin/rkhunter –versioncheck /usr/local/bin/rkhunter –update /usr/local/bin/rkhunter –cronjob –report-warnings-only ) | /bin/mail -s ‘rkhunter Daily Run (PutYourServerNameHere)’ [email protected]

对文件设置执行权限。

# chmod 755 /etc/cron.daily/rkhunter.sh

第5步:手动扫描和使用

要扫描整个文件系统,运行Rkhunter作为根用户。

# rkhunter –check

示例输出

[ Rootkit Hunter version 1.4.6 ] Checking system commands… Performing ‘strings’ command checks Checking ‘strings’ command [ OK ] Performing ‘shared libraries’ checks Checking for preloading variables [ None found ] Checking for preloaded libraries [ None found ] Checking LD_LIBRARY_PATH variable [ Not found ] Performing file properties checks Checking for prerequisites [ OK ] /usr/local/bin/rkhunter [ OK ] /usr/sbin/adduser [ OK ] /usr/sbin/chkconfig [ OK ] /usr/sbin/chroot [ OK ] /usr/sbin/depmod [ OK ] /usr/sbin/fsck [ OK ]

上述命令下与Rkhunter做出的检查结果/var/log/rkhunter.log生成日志文件。

图片[4]-rkhunter 安装使用 – 作者:Vuibox-安全小百科

# cat /var/log/rkhunter.log

示例输出

03:33:40] Running Rootkit Hunter version 1.4.6on server [03:33:40] [03:33:40] Info: Start date is Tue May 31 03:33:40 EDT 2020 [03:33:40] [03:33:40] Checking configuration file and command-line options… [03:33:40] Info: Detected operating system is ‘Linux’ [03:33:40] Info: Found O/S name: CentOS Linux release 7.2.1511 (Core) [03:33:40] Info: Command line is /usr/local/bin/rkhunter –check [03:33:40] Info: Environment shell is /bin/bash; rkhunter is using bash [03:33:40] Info: Using configuration file ‘/etc/rkhunter.conf’ [03:33:40] Info: Installation directory is ‘/usr/local’

有关更多信息和选项,请运行以下命令。

# rkhunter –help

原文地址:https://www.smvbox.com/

来源:freebuf.com 2020-12-29 13:30:17 by: Vuibox

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论