一、简介:
Rkhunter的中文名叫“Rootkit猎手”, 目前可以发现大多数已知的rootkits和一些嗅探器以及后门程序。它通过执行一系列的测试脚本来确认服务器是否已经感染rootkits,比如检查rootkits使用的基本文件,可执行二进制文件的错误文件权限,检测内核模块等等。在官方的资料中,RKHunter可以作的事情有:
1、MD5校验测试,检测文件是否有改动2、检测rootkit使用的二进制和系统工具文件3、检测特洛伊木 马程序的特征码4、检测常用程序的文件属性是否异常5、检测系统相关的测试6、检测隐藏文件7、检测可疑的核心模块LKM8、检测系统已启动的监听端口
二、安装使用:
测试环境:linux
1、下载地址:
http://jaist./project/rkhunter
2、上传安装:
tar -zxvf rkhunter-1.4.6.tar.gzcd rkhunter-1.4.6sh installer.sh --layout default --install
3、常用参数:
常用的几个参数选项有:c, --check 必选参数,表示检测当前系统configfile <file> 使用特定的配置文件cronjob 作为cron任务定期运行sk, --skip-keypress 自动完成所有检测,跳过键盘输入summary 显示检测结果的统计信息update 检测更新内容
4、系统检查
rkhunter –update #更新病毒库,可以不执行/usr/local/bin/rkhunter --check --skip-keypress
5、查看报告:
cd /var/logmore rkhunter.log
6、更新病毒
