Linux 使用 Chkrootkit 和 rkhunter 软件检测/检查 Rootkit

问：大多数 rootkit 使用内核的功能来隐藏自身，它们仅在内核中可见。如何在 CentOS 或 Debian Linux 服务器下检测 rootkit？

答：Rootkit 是一种程序（或多种程序的组合），其目的是在未经系统所有者和合法管理员授权的情况下，对计算机系统进行根本控制（在 Unix 术语中为“根”访问权限，在 Windows 术语中为“管理员”访问权限）。

检测 Linux 下的 rootkit

您可以尝试使用以下工具来检测Linux rootkit：

警告！为了获得最佳效果，这些示例应从 Live CD (Linux Live Security CD) 运行。

Zeppoo 软件

Zeppoo – Zeppoo 允许您使用 /dev/kmem 和 /dev/mem 在 Linux 下检测 i386 和 x86_64 架构上的 rootkit。此外，它还可以检测隐藏的任务、连接、损坏的符号、系统调用等。在此处下载源代码

Chkrootkit 软件

Chkrootkit – chkrootkit 是一种用于本地检查 rootkit 迹象的工具。输入以下命令安装 chkrootkit
$ sudo apt-get install chkrootkit
开始查找 rootkit，输入：
$ sudo chkrootkit
查找可疑字符串，输入：
$ sudo chkrootkit -x | less
您需要指定 chkrootkit 使用的外部命令（如 awk、grep 等）的路径。使用 nfs 以只读模式挂载 /mnt/safe 并将 /mnt/safe 二进制文件 PATH 设置为受信任的路径，输入：
$ sudo chkrootkit -p /mnt/safe

rkhunter 软件

rkhunter – rkhunter (Rootkit Hunter) 是一个基于 Unix 的工具，用于扫描 rootkit、后门和可能的本地漏洞。rkhunter 是一个 shell 脚本，它对本地系统执行各种检查，以尝试检测已知的 rootkit 和恶意软件。它还会检查命令是否已被修改、系统启动文件是否已被修改，并对网络接口执行各种检查，包括检查监听应用程序。输入以下命令安装 rkhunter：
$ sudo apt-get install rkhunter
以下命令选项告诉 rkhunter 在本地系统上执行各种检查：
$ sudo rkhunter --check
以下命令选项使 rkhunter 检查其任何文本数据文件是否有更新版本：
$ sudo rkhunter --update
以下选项告诉 rkhunter 在哪些目录中查找它所需的各种命令：
$ sudo rkhunter --check --bindir /mnt/safe

推荐阅读：

• 手册页 – rkhunter 和 chkrootkit
• rkhunter项目主页
• chkrootkit项目主页