Chkrootkit安装使用教程-Linux后门入侵检测工具

  • A+
所属分类:技术教程

Chkrootkit是一种Linux后门入侵检测工具,可以用来检测rootkit后门的工具,rootkit常被入侵者用来入侵控制别人的电脑,危险性很强。而,Chkrootkit工具可以很好的检测到rootkit程序,本文主要为大家介绍Chkrootkit安装使用教程

Chkrootkit安装使用教程-Linux后门入侵检测工具

安装Chkrootkit需要我们手动编译的方法来安装,同时需要在在系统中安装好gcc编译包。具体操作如下:

一、Chkrootkit安装教程

1、准备gcc编译环境

对于CentOS系统,执行下述三条命令:

yum -y install gcc

yum -y install gcc-c++

yum -y install make

对于Debian系统,执行下述两条命令:

apt-get -y install gcc

apt-get -y install make

2、下载Chkrootkit源码(为安全建议大家在官网下载)

[root@www ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

3、解压安装包

[root@www ~]# tar zxf chkrootkit.tar.gz

4、编译安装(注意将*替换成具体字符)

[root@www ~]# cd chkrootkit-*

[root@www ~]# make sense

5、把编译好的文件部署到/usr/local/目录中,并删除遗留的文件

[root@www ~]# cd ..

[root@www ~]# cp -r chkrootkit-* /usr/local/chkrootkit

[root@www ~]# rm -r chkrootkit-*

6、到此,Chkrootkit安装成功。

二、Chkrootkit使用教程

1、将安装成功的Chkrootkit位于/usr/local/chkrootkit/chkrootkit

执行命令:

root@vm:~# /usr/local/chkrootkit/chkrootkit

2、即可查看,Rootkit检测结果。

Chkrootkit安装使用教程-Linux后门入侵检测工具

安全提示:由于Chkrootkit的检查过程使用了部分系统命令。因此,如果服务器被入侵,则依赖的系统命令可能也已经被入侵者做了手脚,Chkrootkit的结果将变得完全不可信,甚至连系统ls等查看文件的基础命令也变得不可信。

为了避免Chkrootkit的这个问题,可以在服务器对外开放前,事先将Chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始系统命令让Chkrootkit对rootkit进行检测。这个过程可以通过下面的操作实现:

[root@server ~]# mkdir /usr/share/.commands

[root@server ~]# cp `which –skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname` /usr/share/.commands

[root@server ~]# /usr/local/chkrootkit/chkrootkit -p /usr/share/.commands/

[root@server share]# cd /usr/share/

[root@server share]# tar zcvf commands.tar.gz .commands

[root@server share]# rm -rf commands.tar.gz

上面这段操作是在/usr/share/下建立了一个.commands隐藏文件,然后将Chkrootkit使用的系统命令进行备份到这个目录下。为了安全起见,可以将.commands目录压缩打包,然后下载到一个安全的地方进行备份,以后如果服务器遭受入侵,就可以将这个备份上传到服务器任意路径下,然后通过Chkrootkit命令的“-p”参数指定这个路径进行检测即可。

(本文由美国主机资讯原创,转载请注明!)

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
avatar