rootkit后门检测工具rkhunter

最新推荐文章于 2025-09-30 16:16:31 发布
原创 最新推荐文章于 2025-09-30 16:16:31 发布 · 3.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#RKHunter #rootkit #rootkit检测工具

RKHunter是一款强大的rootkit后门检测工具,用于检测Linux系统是否被rootkit攻击。它通过执行多种测试,如文件MD5校验、rootkit二进制检测、系统命令检查等,确保系统的安全性。此外,文章还介绍了RKHunter的安装和使用步骤,以及如何通过自动执行和定时任务来持续监控系统安全。

rootkit后门检测工具RKHunter

1、关于rootkit

rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。

rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。

rootkit主要有两种类型:文件级别和内核级别。

文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。

通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统危害很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwire、aide等。

内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。

内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。以防范为主。一般系统镜像要从官网或可信度高的网站下载镜像。

2、关于RKHunter

rootkit后门检测工具RKHunter,它通过一系列脚本来确认服务器是否已经感染rootkit,主要执行以下测试:

1)、MD5校验测试, 检测文件是否被改动。

2)、检测rootkits使用的二进制和系统工具文件。

3)、检测特洛伊木马程序的特征码。

4)、检测常用程序的文件异常属性。

5)、检测系统相关。如:启动文件、系统用户和组配置、ssh配置、文件系统等。

6)、检测隐藏文件、/etc/rc.d/目录下的所有配置文件、日志文件等。

7)、检测Linux内核监控模块:驱动模块(LKM)

8)、检测系统已经启动的监听端口:扫描任何混杂模式下的接口和后门程序常用的端口。

9)、检测应用程序版本,如: Apache Web Server, Procmail等。

10)、检测网络。

3、编译安装rkhunter

1)、安装编译环境

[root@node1 ~]# yum -y install gcc gcc-c++ make cmake glibc-static glibc-utils

[root@node1 ~]# rz

[root@node1 ~]# ls

rkhunter-1.4.6.tar.gz 

2)、解压编译安装:建议官方站点下载源码

[root@node1 ~]# tar zxvf rkhunter-1.4.6.tar.gz -C /usr/local/

[root@node1 ~]# cd /usr/local/rkhunter-1.4.6/

[root@node1 rkhunter-1.4.6]# ls

files  installer.sh

[root@node1 rkhunter-1.4.6]# ./installer.sh --layout default --install

3)、安装后可执行文件为:

[root@node1 ~]# cd /usr/local/bin/

[root@node1 bin]# ls

rkhunter

4)、查看使用帮助:

[root@node1 ~]# rkhunter -h

Usage: rkhunter {--check | --unlock | --update | --versioncheck |

最低0.47元/天 解锁文章
[KeyarchOS]Chkrootkit后门检测工具的安装
KeyarchOS的博客
09-13 3842
chkrootkit是一种开源工具,旨在帮助检测 Linux 系统中是否存在 rootkit 和恶意软件。rootkit 是一种用于隐藏恶意活动的恶意软件,它能够有效地掩盖自身和其他恶意行为,使攻击者可以在受感染的系统上保持持久的访问权限。它通过搜索常见的 rootkit 文件和代码,包括 Linux 内核模块 (LKM) 和用户空间 rootkit,来识别潜在的威胁。当 chkrootkit 扫描完成后,它会生成一个报告,列出任何被发现的可疑文件、隐藏进程和异常端口等。
使用rkhunter Rootkit猎手检查Rootkit:全面指南
weixin_43822401的博客
06-20 1633
rkhunter是一款开源的Rootkit检测工具,它能够扫描系统以查找已知的Rootkit特征码,检查系统文件的完整性,以及检测隐藏的进程和文件。
后门检测工具
02-10
一款可以检测软件是否捆绑了其他软件及病毒木马的强大工具,软件本身还自带沙盘安装,让您远离病毒木马的侵害
Linux系统rootkit检测工具chkrootkit实战详解
最新发布
weixin_42575505的博客
09-30 1188
chkrootkit是一款开源的Linux系统本地rootkit检测工具,最早由Narciso Fragoso于2003年发布,旨在帮助系统管理员识别已知rootkit的存在。其设计基于特征匹配与行为比对机制,通过扫描关键系统文件、校验命令完整性及分析异常系统状态,实现对隐蔽恶意程序的快速发现。严格意义上,rootkit并非传统意义上的病毒或蠕虫,而是一类旨在隐藏自身或其他恶意实体存在的特权提升与持久化驻留工具集。
安全运维之:Linux后门***检测工具,附bash漏洞最终解决方法
weixin_34072857的博客
09-25 460
推荐:10年技术力作:《高性能Linux服务器构建实战Ⅱ》全网发行,附试读章节和全书实例源码下载!一、rootkit简介rootkit是Linux平台下最常见的一种***后门工具,它主要通过替换系统文件来达到***和和隐蔽的目的,这种***比普通***后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种***。rootkit***能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,...
探索BackdoorBox:一款强大的后门检测工具
gitblog_00025的博客
04-27 1915
探索BackdoorBox:一款强大的后门检测工具 项目地址:https://gitcode.com/gh_mirrors/ba/BackdoorBox 在网络安全领域,预防和检测恶意软件后门至关重要。 是一个开源项目,专门设计用于帮助安全专家和普通用户识别并清除潜在的系统后门。本文将深入探讨该项目的技术原理、应用场景和独特特性,引导您了解并开始使用它。 项目简介 BackdoorBox由开发者T...
rootkit后门检查工具RKHunter
07-14
rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。
Linux平台下RKHunter:全面检测rootkit后门工具
RKHunterRootkit Hunter)是一款在Linux系统下广泛使用的开源安全工具,其主要功能是检测系统中是否存在rootkit后门Rootkits是一种特殊的恶意软件,它们被设计为隐藏在系统中,以便不被轻易发现,并且常常与提升...
Linux rootkit扫描工具(rkhunter1.4)
01-15
rkhunterRootkit Hunter)是一款强大的、免费的Linux系统rootkit检测工具,它可以检查系统中是否存在已知的rootkit后门程序和潜在的安全弱点。rkhunter使用多种检测技术,包括文件校验和、系统调用检测、异常...
RKHunter工具:如何检测rootkit后门等恶意软件
RKHunter是一款专门设计用来检测系统中潜在恶意程序的工具,尤其是针对rootkits、后门和系统漏洞等威胁。为了深入理解这一工具的功能和重要性,我们先要对rootkits、后门和漏洞这三个概念有所了解。 **Rootkit** ...
rkhunter的使用
nengyu的专栏
05-11 9559
Rootkit Hunter    中文名叫”Rootkit猎手”, 可以发现大约58个已知的rootkits和一些嗅探器和后门程序. 它通过执行一系列的测试脚本来确认你的机器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核模块等等. Rootkit Hunter由Michael Boelen开发, 是开源(GPL)软件.安装Ro
D盾网站源码后门木马检测工具
11-07
D盾网站源码后门木马检测工具
常用软件后门检测工具
11-16
常用软件后门检测工具
木马后门检测分离工具包
01-25
一间查询后门,木马,分离 工具包。让你的电脑不再被后门困扰
RKHunter 检测例如rootkit后门、漏洞等恶意程序的工具
01-02
RKHunter是一款检测例如rootkit后门、漏洞等恶意程序的工具。它采用多种检测手段,包括MD5哈希值对比、rootkits原始文件名检测、文件权限检测,以及LKM和KLD模块中的可疑字符串检测。
rkhunter-1.4.2.tar.gz
06-03
rootkit后门检测工具RKHunter RKHunter是一款专业的检测系统是否感染rootkit的工具,它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方的资料中,RKHunter可以作的事情有: MD5校验测试,检测文件是否有改动 检测rootkit使用的二进制和系统工具文件 检测特洛伊木马程序的特征码 检测常用程序的文件属性是否异常 检测系统相关的测试 检测隐藏文件 检测可疑的核心模块LKM 检测系统已启动的监听端口 下面详细讲述下RKHunter的安装与使用。 1、安装RKHunter RKHunter的官方网页地址为:http://www.rootkit.nl/projects/rootkit_hunter.html,建议从这个网站下载RKHunter,这里下载的版本是rkhunter-1.4.0.tar.gz。RKHunter的安装非常简单,过程如下: 1 2 3 4 5 6 7 [root@server ~]# ls rkhunter-1.4.0.tar.gz [root@server ~]# pwd /root [root@server ~]# tar -zxvf rkhunter-1.4.0.tar.gz [root@server ~]# cd rkhunter-1.4.0 [root@server rkhunter-1.4.0]# ./installer.sh --layout default --install 这里采用RKHunter的默认安装方式,rkhunter命令被安装到了/usr/local/bin目录下。 2、使用rkhunter指令 rkhunter命令的参数较多,但是使用非常简单,直接运行rkhunter即可显示此命令的用法。下面简单介绍下rkhunter常用的几个参数选项。 [root@server ~]#/usr/local/bin/rkhunter–help Rkhunter常用参数以及含义如下所示。 参数 含义 -c, –check必选参数,表示检测当前系统 –configfile 使用特定的配置文件 –cronjob作为cron任务定期运行 –sk, –skip-keypress自动完成所有检测,跳过键盘输入 –summary显示检测结果的统计信息 –update检测更新内容 -V, –version显示版本信息 –versioncheck检测最新版本 下面是通过rkhunter对某个系统的检测示例: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 [root@server rkhunter-1.4.0]# /usr/local/bin/rkhunter -c [ Rootkit Hunter version 1.4.0 ] #下面是第一部分,先进行系统命令的检查,主要是检测系统的二进制文件,因为这些文件最容易被rootkit攻击。显示OK字样表示正常,显示Warning表示有异常,需要引起注意,而显示“Not found”字样,一般无需理会 Checking system commands... Performing 'strings' command checks Checking 'strings' command [ OK ] Performing 'shared libraries' checks Checking for preloading variables [ None found ] Checking for preloaded libraries [ None found ] Checking LD_LIBRARY_PATH variable [ Not found ] Performing file properties checks Checking for prereq
服务器网站后门检测软件,服务器安全工具(后门检测)
weixin_29609679的博客
08-11 1645
服务器安全工具(后门检测)功能1.目前该工具只作为辅助查找,站长可自行添加正则表达式。2.服务器后门检测采用白名单特征检查方式,可检查出所有替换型后门变种。3.网站后门辅查支持自定义白名单,可以在网站初建时或本地原始备份进行白名单制作,可减少扫描结果便于判断。4.服务器综合管理,支持远程终端端口修改及开启,可卸载及管理危险组件。5.开关机时间检查,可发现非正常关机事件6.映像劫持管理,可查看、添加...
RootKit检测工具
jameson_的专栏
06-01 6695
linux下安装及使用rootkit hunter(rootkit检测扫描工具) 在官方的资料当中,rootkit hunter可以作的...
rkhunter
weixin_30888413的博客
04-12 155
0 0 * * 0 /usr/local/bin/rkhunter -c --cronjob 定时工具 转载于:https://www.cnblogs.com/xiaobiaomei/p/8807417.html
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值