Rootkit 猎人 (猎人) 是一个基于 Unix 的工具 扫描 为了 根工具包, 后门 并且可能 本地攻击. 它通过将重要文件的 SHA-1 哈希值与在线数据库中已知的良好文件进行比较,以及:
MD5 哈希比较 查找 rootkit 使用的默认文件 二进制文件的错误文件权限 在 LKM 和 KLD 模块中查找可疑字符串 查找隐藏文件 在纯文本和二进制文件中进行可选扫描 在本文中,我们将向您展示 如何安装 Rootkit Hunter (rkhunter) 在 RHEL/CentOS 5.9/6.0/6.1/6.2/6.3/6.4/6.5/, Fedora 16/17/18/19/20 linux 和示例用法。
在 RHEL/CentOS 上安装 Rootkit Hunter 和 Fedora
到 安装 rkhunter Fedora 16/17/18/19/20 输入以下命令:
# yum install rkhunter -y
到 安装 rkhunter 在 RHEL/CentOS 6.1/6.2/6.3/6.4/6.5, 首先在您的系统上安装 RpmForge 存储库,然后使用 yum 命令:
# yum install rkhunter -y
Rotkit Hunter 更新
通过发出以下命令运行 rkhunter 更新程序。
# /usr/local/bin/rkhunter --update # /usr/local/bin/rkhunter --propupd
Rootkit Hunter 手动扫描
您可以通过发出以下命令来启动手动扫描:
# sudo rkhunter -c
一次 猎人 启动后,它将继续运行一系列测试,如下所示:
将系统二进制文件的 SHA-1 哈希值与数据库中维护的已知良好值进行比较。 检查已知的 rootkit 文件和目录,以及 rootkit 字符串。 执行恶意软件检测,包括检查登录后门、嗅探器日志文件和其他可疑目录。 执行特定于木马的检查,例如检查启用的 xinetd 服务。 对网络端口和接口执行检查。 执行系统引导检查。 执行组和帐户检查。 执行系统配置文件检查。 执行文件系统检查。
扫描完成后, 猎人 将结果存储在 /var/log/rkhunter.log. 您可以按如下方式检查任何警告。
# sudo grep Warning /var/log/rkhunter.log
有关更多信息和选项,请运行以下命令。
# rkhunter --help
