sax888

利用Rootkit Hunter來檢查你的linux主機有沒有木馬程式.可以到http://www.rootkit.nl/去下載來安裝使用,最重要的是它是免費的

引用:

Step 1 下載及安裝Rootkit Hunter 1.27的套件 rkhunter-1.2.7.tar.gz
在視窗環境的桌面上雙擊它 rkhunter-1.2.7.tar.gz, 解壓縮成為 rkhunter檔案夾.
在終端機下指令安裝Rootkit Hunter 1.27
    cd rkhunter
    ./installer.sh

Step 2 執行Rootkit Hunter 1.27檢查你的linux
    rkhunter --update
    rkhunter -c
其中rkhunter --update這個指令是將Rootkit Hunter 1.27內的資料作昇級的動作,之後的rkhunter -c指令才是開始檢查你的電腦.下完指令之後電腦就會出現下圖中的畫面而去一步一步的檢查你的電腦,它需要一點時間,請耐心等候吧!

Rootkit Hunter安裝說明

先進行下載：

rkhunter 官方下載點： http://www.rootkit.nl/projects/rootkit_hunter.html
可使用wget 網址 的方式下載 或者使用
apt-get install rkhunter 和yum rkhunter的方式下載
必須要有 bash shell

＊預設下載下來的檔案在下列目錄

[root@localhost /]# cd /usr/home/creeds/

[root@localhost /]# tar –zxvf rkhunter-版本編號.tar.gz

[root@localhost /]# cd rkhunter/

利用installer腳本語言進行安裝

安裝到預設的目錄去

[root@localhost /]# ./installer.sh –layout default –install

安裝到想要安裝的目錄去(如/usr/local)

[root@localhost /]# ./installer.sh –layout /usr/local –install

產生rkhunter安裝目錄內含MD5編碼資料和腳本語言執行檔等資料



Rootkit Hunter參數介紹

輸入rkhunter --help可顯示詳細的參數介紹

Usage: rkhunter {--check | --update | --propupd | --versioncheck | --list [tests | languages | rootkits] | --version | --help} [options]

     --append-log                  附加到記錄檔案，不要複寫
         --bindir <directory>...       使用詳細的指令目錄
     -c, --check                       檢查本機系統
  --cs2, --color-set2                  使用輔助的色彩在輸出結果上
         --configfile <file>           使用進階的檔案配置
         --cronjob                     執行一個排程工作，可以使用 crontab 來執行，不會有顏色顯示
                                       (包含 -c, --sk and --nocolors 選項)
         --dbdir <directory>           使用詳細的資料庫目錄
         --debug                       除錯模式
                                       (不要使用，除非有要求這樣做的時候)
         --disable <test>[,<test>...]  關閉詳細的測試
                                       (預設是關閉沒有測試)
         --display-logfile             在結束的時候顯示紀錄檔
         --enable  <test>[,<test>...]  開啟詳細的測試
                                       (預設是開啟所有測試)
         --hash {MD5 | SHA1 | NONE |   使用詳細的檔案Hash功能
                 <command>}            (預設是使用SHA1)
     -h, --help                        顯示協助功能表然後離開
--lang, --language <language>         語言的使用
                                       (預設是英文)
         --list [tests | languages |   列出有效的測試名稱, 語言,
                 rootkits]             或者rookit的檢查,然後離開
     -l, --logfile [file]              寫入紀錄檔
                                       (預設是/var/log/rkhunter.log)
         --noappend-log                不要附加紀錄到紀錄擋上，採複寫方式
         --nocolors                    使用黑底白字模式
         --nolog                       不要寫入到紀錄檔
--nomow, --no-mail-on-warning          如果警告出現，則不要傳送訊息（眼不見為靜模式）
   --ns, --nosummary                   不要顯示出檢查結果的結論
--novl, --no-verbose-logging          不要顯示冗長的紀錄
         --pkgmgr {RPM | DPKG | BSD |  使用詳細的封裝管理（得到、通用、存在）或
                   NONE}               驗證檔案的Hash值. (預設是NONE)
         --propupd                     更新檔案特性資料庫
     -q, --quiet                       安靜模式 (不會輸出全部)，僅顯示有問題的訊息，比 --report-warnings-only 更少訊息
  --rwo, --report-warnings-only        只顯示出有問題的訊息
     -r, --rootdir <directory>         使用詳細的根目錄
   --sk, --skip-keypress               不要等到按鍵後才進行測試
         --summary                     顯示出系統檢查結果的結論報告
                                       (這是預設值)
         --syslog [facility.priority]  紀錄檢查開始和結束的時間的系統紀錄
                                       (預設等即是authpriv.notice)
         --tmpdir <directory>          使用詳細的暫時目錄
         --update                      檢查資料庫更新檔案
   --vl, --verbose-logging             使用冗長的紀錄模式 (預設)
     -V, --version                     呈現出版本號碼然後離開
         --versioncheck                檢查程式最後的版本
     -x, --autox                       如果使用x參數則自動檢查
     -X, --no-autox                    如果x參數被使用則不要自動檢查


Rootkit Hunter使用說明


建議在開始進行系統檢測前先進行一次更新

rkhunter --update --propupd

以避免誤判

確認目前最新版本的rkhunter

rkhunter --versioncheck

一般來說單純的檢查系統僅使用

rkhunter --checkall 或rkhunter –checkall就可以進行全系統檢測

預設檢測結果預設為英文

可加上參數顯示為中文

BIG5 編碼環境下, 請執行:

rkhunter --check --lang zh

UTF-8 編碼環境下, 請執行:

rkhunter --check --lang zh.utf8

在檢測的過程中會要求按下Enter鍵已進行下一個步驟的檢測

可加上參數直接進行檢測而不要由按下Enter

rkhunter --checkall --skip-keypress

在檢測的過程中會顯示出所有檢測過的檔案，過於冗長，可以加上參數僅顯示可疑的檔案

rkhunter --checkall --report-warnings-only（或者加 --quiet可以獲得更精簡的訊息）

最後可以搭配排程程式進行每日的系統檢測

編輯/etc/crontab

並且加入下列程式片段每日進行掃描檢測

?分 ?點 * * * root /usr/local/bin/rkhunter --checkall --cronjob

檢測後發送訊息通知檢查報告

首先增加一個新的檔案到排程資料夾下面

vim /etc/cron.daily/rkhunter.sh

增加下列程式片段

#!/bin/bash
(/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Details" replace-this@with-your-email.com)

或者

---------/etc/cron.daily/rkhunter---------------

#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Daily Run' replace-this@with-your-email.com

chmod +x /etc/cron.daily/rkhunter.sh

整合應用

針對Root設定
# crontab -e
針對一般使用者設定
# crontab -e -u username
0 3 * * * (./usr/local/bin/rkhunter –checkall 2>&1 | mail -s "chkrootkit output" -c  mailadresscopy1@host.com This e-mail address is being protected from spambots. You need JavaScript enabled to view it This e-mail address is being protected from spambots. You need JavaScript enabled to view it )

但是前提要先進去修改rkhunter.conf設定檔中的下列兩項參數

MAIL-ON-WARNING=me@mydomain   root@mydomain

MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"

Rootkit Hunter報告檢視

more /var/log/rkhunter.log

可以看到檢測完的系統報告

最後進行一項簡單的測試，就是隨意的更改系統中任一項系統檔案，權限改為777，檢驗看看rkhunter是否真的有精準的發現不正確的權限檔案設定