chkrootkit安裝配置教程 – Linux後門入侵檢測

rootkit從淺顯的層面來講即一種具有自我隱蔽性的後門程序,它往往被入侵者作為一種入侵工具。通過rootkit,入侵者可以偷偷控制被入侵的電腦,因此危害巨大。chkrootkit是一個Linux系統下的查找檢測rootkit後門的工具。本文將介紹chkrootkit的安裝與使用方法。

chkrootkit沒有包含在官方的CentOS或Debian源,因此我們將採取手動編譯的方法來安裝,這種方式也更加安全。由於需要編譯源代碼,因此還需要在系統中安裝好gcc編譯包。

 

安裝方法

1、準備gcc編譯環境

對於CentOS系統,執行下述三條命令:

yum -y install gcc
yum -y install gcc-c++
yum -y install make

對於debian系統,執行下述兩條命令:

apt-get -y install gcc
apt-get -y install make

2、下載chkrootkit源碼

chkrootkit的官方網站為 http://www.chkrootkit.org ,下述下載地址為官方地址。為了安全起見,務必在官方下載此程序:

[root@www ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

3、解壓下載回來的安裝包

[root@www ~]# tar zxf chkrootkit.tar.gz

4、編譯安裝(後文命令中出現的“*”無需替換成具體字符,原樣複製執行即可)

[root@www ~]# cd chkrootkit-*
[root@www ~]# make sense

注意,上面的編譯命令為make sense。

5、把編譯好的文件部署到/usr/local/目錄中,並刪除遺留的文件

[root@www ~]# cd ..
[root@www ~]# cp -r chkrootkit-* /usr/local/chkrootkit
[root@www ~]# rm -r chkrootkit-*

至此,安裝完畢。

 

使用方法

安裝好的chkrootkit程序位於 /usr/local/chkrootkit/chkrootkit

直接執行

root@vm:~# /usr/local/chkrootkit/chkrootkit

即可對系統rootkit進行全面掃面,並滾動顯示出結果,如圖:

chkrootkit安裝配置教程 - Linux後門入侵檢測

 

安全提示:由於chkrootkit的檢查過程使用了部分系統命令。因此,如果服務器被入侵,則依賴的系統命令可能也已經被入侵者做了手腳,chkrootkit的結果將變得完全不可信,甚至連繫統ls等查看文件的基礎命令也變得不可信。

发表评论