linux后门检测工具Rkhunter
linux后门检测工具Rkhunter
软件下载网址wget http://ncu.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
软件安装:解压tar包
[root@localhost home]# tar zxvf rkhunter-1.4.2.tar.gz
[root@localhost home]# cd rkhunter-1.4.2
[root@localhost rkhunter-1.4.2]# ./installer.sh --layout default --install
[root@localhost rkhunter-1.4.2]# /usr/local/bin/rkhunter –c
此工具总共检测五部分:
第一部分:系统命令检查(如果被入侵,那么命令就有可能已经被其换掉了);
第二部分:常见的后门程序扫描
第三部分:恶意软件及指定内核模块检测
第四部分:网络、系统端口、系统启动文件
第五部分:应用程序版本检测
第六部分是对所有检测结果的汇总;
检测结果红色的为异常需要引起注意,绿色为正常;
以下是工具检测结果:
以下为手工检测结果
执行命令查看日志 Last 登录信息,为空
查看执行过的命令 History 为空
查看 /var/log 中的日志文件
从以上截图可以基本判断,入侵着分别在28号11:09分进入系统更改了btmp 和messages日志文件;
30日凌晨4点03分再次登录修改了其他日志文件,修改了文件的执行权限为(777)
rkhunter-1-4-2-tar
[root@localhost rkhunter-1.4.2]# ./installer.sh --layout default --install
[root@localhost rkhunter-1.4.2]# /usr/local/bin/rkhunter –c
此工具总共检测五部分:
第一部分:系统命令检查(如果被入侵,那么命令就有可能已经被其换掉了);
第二部分:常见的后门程序扫描
第三部分:恶意软件及指定内核模块检测
第四部分:网络、系统端口、系统启动文件
第五部分:应用程序版本检测
第六部分是对所有检测结果的汇总;
检测结果红色的为异常需要引起注意,绿色为正常;
以下是工具检测结果:
以下为手工检测结果
执行命令查看日志 Last 登录信息,为空
查看执行过的命令 History 为空
查看 /var/log 中的日志文件
从以上截图可以基本判断,入侵着分别在28号11:09分进入系统更改了btmp 和messages日志文件;
30日凌晨4点03分再次登录修改了其他日志文件,修改了文件的执行权限为(777)
rkhunter-1-4-2-tar