linux-后门入侵检测工具-chkrootkit

Rookit

简介:rootkitLinux平台常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。Rootkt攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐蔽行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录系统。

 

Rootkit有两种类型:文件级别和内核级别

Rootkit后门检测工具

1)        Chkrootkit

安装

yum install gcc gcc++ glibc-static -y

www.chkrootkit.org下载chkrootkit.tar.gz

tar zxvf chkrootkit.tar.gz

cd chkrootkit-0.50/

make sense

cd

mv chkrootkit-0.50/ /usr/local/

使用

/usr/local/chkrootkit-0.50/chkrootkit

各个参数的含义

-h 显示帮助信息

-v显示版本信息

-l显示测试内容

-d debug模式,显示检测过程中相关命令

- q安静模式,只显示有问题的内容

-x 高级模式,显示所有检测结果

-n跳过nfs连接的目录

chkrootkit缺点

chkrootkit使用简单,但是过程使用了部分系统命令,所以当黑客入侵,何可替换了一些系统命令,结果就变得不可信了。

解决这个问题:在服务器对外开放之前,先备份系统命令。

mkdir /usr/share/.commands

cp `which --skip-alias awk ssh cutecho find egrep id head ls netstat ps strings sed uname` /usr/share/.commands

/usr/local/chkrootkit-0.50/chkrootkit-p /usr/share/.commands

只是几个命令没有检测到而已。

时间: 2024-10-15 00:36:34

linux-后门入侵检测工具-chkrootkit的相关文章

Linux后门入侵检测工具,附bash漏洞解决方法[转载]

转自:http://blog.jobbole.com/77663/ 官网 ClamAV杀毒软件介绍 ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件.ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了.另外它主要是来防护一些WINDOWS病毒和木马程序.另外,这是一个面向服务端的软件. 下载ClamAV安装包 ClamAV的官方下载地址为http://www.clamav.net/d

Linux后门入侵检测工具,附bash漏洞解决方法

一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马.rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统. rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍. 1.文件级别rootkit 文件级别的rootkit一般是通

安全运维之:Linux后门入侵检测工具,附最新bash漏洞解决方法

一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马.rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统. rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍. 1.文件级别rootkit 文件级别的rootkit一般是通

安全运维之:Linux后门入侵检测工具的使用

一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马.rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统. rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍. 1.文件级别rootkit 文件级别的rootkit一般是通

linux入侵检测工具chkrootkit

有时候服务器出现莫名其妙的情况,怀疑机器是否被入侵,可以使用这个chkrootkig工具: chkrootkit是一个开放源代码的安全检测工具他的官方网站是 www.chkrootkit.org 下载地址: http://pkgs.repoforge.org/chkrootkit/ 根据OS版本下载对应的包: wget http://pkgs.repoforge.org/chkrootkit/chkrootkit-0.49-1.el5.rf.x86_64.rpm 开始检测: 运行 chkroot

Linux后门入侵检测

蛋疼啊,服务器被入侵成肉鸡了,发出大量SYN请求到某个网站!(瞬间有种被OOXX(强)(奸)的赶脚) 泪奔ING... 源起: Linux服务器日常检查,#ps aux 发现大量httpd进程,和往常情况不同(和以往多出好几倍),接着#top 一下,httpd名列前茅!(JJ Fly...) #netstat -anp 发现大量SYN_SENT,成肉鸡了!(瞬间有种被OOXX(强)(奸)的赶脚)! #cd / 转到根目录  #ll -a检查最近修改过的文件,发现/etc文件夹在前几天凌晨三点被修

linux入侵检测工具之AIDE

1.aide的概述 AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性. AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档.AIDE数据库能够保存文档的各种属性,包括:权限 (permission).索引节点序号(inode number).所属用户(user).所属用户组(group).文档大小.最后修改时间(mtime).创建时间(ctime).最后访问时间

Tiger –UNIX:一款开源安全审计 入侵检测工具

Tiger 是一个完全由shell脚本编写的UNIX的免费.开源安全工具,适用于安全审计和入侵检测. Tiger的特性: 1)模块化设计,使得它扩展性比较强, 2)多用途,可用于主机审计和入侵检测. Tiger的优点: 从目前来说,在网络上有很多免费的入侵检测工具,检测方面也囊括了多个层面,目前主要的检测方面如下, 1)网络层面的入侵检测 2)Linux内核补丁入侵检测,例如像LIDS(作为内核补丁和系统管理员工具)或者是linux事件日志查看器等) 3)文件完整性检查工具(如aide,inte

Windows自带强大的入侵检测工具——Netstat 命令 查询是否中木马

Netstat命令可以帮助我们了解网络的整体使用情况.根据Netstat后面参数的不同,它可以显示不同的网络连接信息.Netstat的参数如图,下面对其中一些参数进行说明.如何检测本机是否有被中木马,电脑系统后台是否已被秘密操控,是否被监听.今天跟大家讲下如何查询可疑连接,调用任务管理器Ctrl+Shift+ESC组合键,找到对应的PID数值,右击结束进程. 一.netstat命令详解 1.netstat -a -a显示所有连接和侦听端口,包括本地和远程系统连接时使用的TCP端口或者UDP端口,