Linux下两种rootkits检测工具:Rootkit Hunter和Chkrootkit介绍

　　本文主要介绍linux上检测rootkit的两种工具: Rootkit Hunter和Chkrootkit.

　　Rootkit Hunter
　　中文名叫”Rootkit猎手”, 可以发现大约58个已知的rootkits和一些嗅探器和后门程序. 它通过执行一系列的测试脚本来确认你的机器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核模块等等. Rootkit Hunter由Michael Boelen开发, 是开源(GPL)软件.


　　安装Rootkit Hunter非常简单, 从网站下载软件包, 解压, 然后以root用户身份运行installer.sh脚本sh installer.sh.

　　成功安装后, 你可以通过运行下面命令来检测你的机器是否已感染rootkit:

　　# rkhunter -c

　　二进制可执行文件rkhunter被安装到/usr/local/bin目录, 你需要以root身份来运行该程序. 程序运行后, 它主要执行下面一系列的测试:

　　1. MD5校验测试, 检测任何文件是否改动.
　　2. 检测rootkits使用的二进制和系统工具文件.
　　3. 检测特洛伊木马程序的特征码.
　　4. 检测大多常用程序的文件异常属性.
　　5. 执行一些系统相关的测试 - 因为rootkit hunter可支持多个系统平台.
　　6. 扫描任何混杂模式下的接口和后门程序常用的端口.
　　7. 检测如/etc/rc.d/目录下的所有配置文件, 日志文件, 任何异常的隐藏文件等等. 例如, 在检测/dev/.udev和/etc/.pwd.lock文件时候, 我的系统被警告.
　　8. 对一些使用常用端口的应用程序进行版本测试. 如: Apache Web Server, Procmail等.

　　完成上面检测后, 你的屏幕会显示扫描结果: 可能被感染的文件, 不正确的MD5校验文件和已被感染的应用程序.