利用Rootkit Hunter來檢查你的linux主機有沒有木馬程式.可以到http://www.rootkit.nl/去下載來安裝使用,最重要的是它是免費的
引用:
Step 1 下載及安裝Rootkit Hunter 1.27的套件 rkhunter-1.2.7.tar.gz
在視窗環境的桌面上雙擊它 rkhunter-1.2.7.tar.gz, 解壓縮成為 rkhunter檔案夾.
在終端機下指令安裝Rootkit Hunter 1.27
cd rkhunter
./installer.sh
Step 2 執行Rootkit Hunter 1.27檢查你的linux
rkhunter --update
rkhunter -c
其中rkhunter --update這個指令是將Rootkit Hunter 1.27內的資料作昇級的動作,之後的rkhunter -c指令才是開始檢查你的電腦.下完指令之後電腦就會出現下圖中的畫面而去一步一步的檢查你的電腦,它需要一點時間,請耐心等候吧!
Rootkit Hunter安裝說明
先進行下載:
rkhunter 官方下載點: http://www.rootkit.nl/projects/rootkit_hunter.html
可使用wget 網址 的方式下載 或者使用
apt-get install rkhunter 和yum rkhunter的方式下載
必須要有 bash shell
*預設下載下來的檔案在下列目錄
[root@localhost /]# cd /usr/home/creeds/
[root@localhost /]# tar –zxvf rkhunter-版本編號.tar.gz
[root@localhost /]# cd rkhunter/
利用installer腳本語言進行安裝
安裝到預設的目錄去
[root@localhost /]# ./installer.sh –layout default –install
安裝到想要安裝的目錄去(如/usr/local)
[root@localhost /]# ./installer.sh –layout /usr/local –install
產生rkhunter安裝目錄內含MD5編碼資料和腳本語言執行檔等資料
Rootkit Hunter參數介紹
輸入rkhunter --help可顯示詳細的參數介紹
Usage: rkhunter {--check | --update | --propupd | --versioncheck | --list [tests | languages | rootkits] | --version | --help} [options]
--append-log 附加到記錄檔案,不要複寫
--bindir <directory>... 使用詳細的指令目錄
-c, --check 檢查本機系統
--cs2, --color-set2 使用輔助的色彩在輸出結果上
--configfile <file> 使用進階的檔案配置
--cronjob 執行一個排程工作,可以使用 crontab 來執行,不會有顏色顯示
(包含 -c, --sk and --nocolors 選項)
--dbdir <directory> 使用詳細的資料庫目錄
--debug 除錯模式
(不要使用,除非有要求這樣做的時候)
--disable <test>[,<test>...] 關閉詳細的測試
(預設是關閉沒有測試)
--display-logfile 在結束的時候顯示紀錄檔
--enable <test>[,<test>...] 開啟詳細的測試
(預設是開啟所有測試)
--hash {MD5 | SHA1 | NONE | 使用詳細的檔案Hash功能
<command>} (預設是使用SHA1)
-h, --help 顯示協助功能表然後離開
--lang, --language <language> 語言的使用
(預設是英文)
--list [tests | languages | 列出有效的測試名稱, 語言,
rootkits] 或者rookit的檢查,然後離開
-l, --logfile [file] 寫入紀錄檔
(預設是/var/log/rkhunter.log)
--noappend-log 不要附加紀錄到紀錄擋上,採複寫方式
--nocolors 使用黑底白字模式
--nolog 不要寫入到紀錄檔
--nomow, --no-mail-on-warning 如果警告出現,則不要傳送訊息(眼不見為靜模式)
--ns, --nosummary 不要顯示出檢查結果的結論
--novl, --no-verbose-logging 不要顯示冗長的紀錄
--pkgmgr {RPM | DPKG | BSD | 使用詳細的封裝管理(得到、通用、存在)或
NONE} 驗證檔案的Hash值. (預設是NONE)
--propupd 更新檔案特性資料庫
-q, --quiet 安靜模式 (不會輸出全部),僅顯示有問題的訊息,比 --report-warnings-only 更少訊息
--rwo, --report-warnings-only 只顯示出有問題的訊息
-r, --rootdir <directory> 使用詳細的根目錄
--sk, --skip-keypress 不要等到按鍵後才進行測試
--summary 顯示出系統檢查結果的結論報告
(這是預設值)
--syslog [facility.priority] 紀錄檢查開始和結束的時間的系統紀錄
(預設等即是authpriv.notice)
--tmpdir <directory> 使用詳細的暫時目錄
--update 檢查資料庫更新檔案
--vl, --verbose-logging 使用冗長的紀錄模式 (預設)
-V, --version 呈現出版本號碼然後離開
--versioncheck 檢查程式最後的版本
-x, --autox 如果使用x參數則自動檢查
-X, --no-autox 如果x參數被使用則不要自動檢查
Rootkit Hunter使用說明
建議在開始進行系統檢測前先進行一次更新
rkhunter --update --propupd
以避免誤判
確認目前最新版本的rkhunter
rkhunter --versioncheck
一般來說單純的檢查系統僅使用
rkhunter --checkall 或rkhunter –checkall就可以進行全系統檢測
預設檢測結果預設為英文
可加上參數顯示為中文
BIG5 編碼環境下, 請執行:
rkhunter --check --lang zh
UTF-8 編碼環境下, 請執行:
rkhunter --check --lang zh.utf8
在檢測的過程中會要求按下Enter鍵已進行下一個步驟的檢測
可加上參數直接進行檢測而不要由按下Enter
rkhunter --checkall --skip-keypress
在檢測的過程中會顯示出所有檢測過的檔案,過於冗長,可以加上參數僅顯示可疑的檔案
rkhunter --checkall --report-warnings-only(或者加 --quiet可以獲得更精簡的訊息)
最後可以搭配排程程式進行每日的系統檢測
編輯/etc/crontab
並且加入下列程式片段每日進行掃描檢測
?分 ?點 * * * root /usr/local/bin/rkhunter --checkall --cronjob
檢測後發送訊息通知檢查報告
首先增加一個新的檔案到排程資料夾下面
vim /etc/cron.daily/rkhunter.sh
增加下列程式片段
#!/bin/bash
(/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Details" replace-this@with-your-email.com)
或者
---------/etc/cron.daily/rkhunter---------------
#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Daily Run' replace-this@with-your-email.com
chmod +x /etc/cron.daily/rkhunter.sh
整合應用
針對Root設定
# crontab -e
針對一般使用者設定
# crontab -e -u username
0 3 * * * (./usr/local/bin/rkhunter –checkall 2>&1 | mail -s "chkrootkit output" -c mailadresscopy1@host.com This e-mail address is being protected from spambots. You need JavaScript enabled to view it This e-mail address is being protected from spambots. You need JavaScript enabled to view it )
但是前提要先進去修改rkhunter.conf設定檔中的下列兩項參數
MAIL-ON-WARNING=me@mydomain root@mydomain
MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
Rootkit Hunter報告檢視
more /var/log/rkhunter.log
可以看到檢測完的系統報告
最後進行一項簡單的測試,就是隨意的更改系統中任一項系統檔案,權限改為777,檢驗看看rkhunter是否真的有精準的發現不正確的權限檔案設定