linux后门检测工具Rkhunter

linux后门检测工具Rkhunter

软件下载网址wget http://ncu.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

软件安装:解压tar包

[root@localhost home]# tar zxvf rkhunter-1.4.2.tar.gz

[root@localhost home]# cd rkhunter-1.4.2

linux%e6%a3%80%e6%b5%8b%e5%b7%a5%e5%85%b7322

[root@localhost rkhunter-1.4.2]# ./installer.sh –layout default –install

linux%e6%a3%80%e6%b5%8b%e5%b7%a5%e5%85%b7400

[root@localhost rkhunter-1.4.2]# /usr/local/bin/rkhunter –c

linux%e6%a3%80%e6%b5%8b%e5%b7%a5%e5%85%b7634

此工具总共检测五部分:

第一部分:系统命令检查(如果被入侵,那么命令就有可能已经被其换掉了);

第二部分:常见的后门程序扫描

第三部分:恶意软件及指定内核模块检测

第四部分:网络、系统端口、系统启动文件

第五部分:应用程序版本检测

第六部分是对所有检测结果的汇总;

linux%e6%a3%80%e6%b5%8b%e5%b7%a5%e5%85%b7636

检测结果红色的为异常需要引起注意,绿色为正常

linux%e6%a3%80%e6%b5%8b%e5%b7%a5%e5%85%b7638

以下是工具检测结果:

linux%e6%a3%80%e6%b5%8b%e5%b7%a5%e5%85%b7640

linux%e6%a3%80%e6%b5%8b%e5%b7%a5%e5%85%b7642

以下为手工检测结果

执行命令查看日志  Last 登录信息,为空

查看执行过的命令  History  为空

查看 /var/log 中的日志文件

linux%e6%a3%80%e6%b5%8b%e5%b7%a5%e5%85%b7724

从以上截图可以基本判断,入侵着分别在28号11:09分进入系统更改了btmp 和messages日志文件;

30日凌晨4点03分再次登录修改了其他日志文件,修改了文件的执行权限为(777)

linux%e6%a3%80%e6%b5%8b%e5%b7%a5%e5%85%b7725

rkhunter-1-4-2-tar

知识共享许可协议
作品采用知识共享署名-相同方式共享 3.0 Unported许可协议进行许可。
永久连接: http://py.10isp.com/?p=1338
标签:
« »

评论已关闭。