《rkhunter安装及使用教程》由会员分享,可在线阅读,更多相关《rkhunter安装及使用教程(2页珍藏版)》请在金锄头文库上搜索。
1、Rkhunter安装及使用教程rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫 描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。安装方法:1. 安装 rkhunterrootlocalhost pub#tar zxf rkhunter-1.3.8.tar.gzrootlocalhost pub#cd rkhunter-1.3.8rootlocalhost rkhunter-1.3.8# ./installer.sh - install2. 为基本系统程序建立校对样本(干净的系统)rootlocalhost # r
2、khunter propupdRootkit Hunter version 1.3.8 File created: searched for 165 files, found 136rootlocalhost #ls /var/lib/rkhunter/db/rkhunter.dat/var/lib/rkhunter/db/rkhunter.dat使用方法:成功安装后,你可以通过运行下面命令来检测你的机器是否已感染rootkit:# rkhunter -c二进制可执行文件rkhunter被安装到/usr/local/bin目录,你需要以root身份来运行该程 序.程序运行后,它主要执行下面一系
3、列的测试:1. MD5校验测试,检测任何文件是否改动.2. 检测rootkits使用的二进制和系统工具文件.3. 检测特洛伊木马程序的特征码.4. 检测大多常用程序的文件异常属性.5. 执行一些系统相关的测试-因为rootkit hunter可支持多个系统平台.6. 扫描任何混杂模式下的接口和后门程序常用的端口.7. 检测如/etc/rc.d/目录下的所有配置文件,日志文件,任何异常的隐藏文件等等.例如,在检测/dev/.udev和/etc/.pwd.lock文件时候,我的系统被警告.8. 对一些使用常用端口的应用程序进行版本测试.如:Apache Web Server, Procmail等.
4、完成上面检测后,你的屏幕会显示扫描结果:可能被感染的文件,不正确的MD5校验 文件和已被感染的应用程序.缺省情况下,rkhunter对系统进行已知的一些检测.但是你也可以通过使用-scan-knownbad-files来执行未知的错误检测:# rkhunter -c -scan-knownbad-filesrkhunter是通过一个含有rootkit名字的数据库来检测系统的rootkits漏洞,所以经常更 新该数据库非常重要,你可以通过下面命令来更新该数据库:# rkhunter -update当然最好是通过cron job定期执行上面的命令,你需要用root用户添加下面命令到crontab 文件:59 23 1 * * echo “Rkhunter update check in progress”;/usr/local/bin/rkhunter -update上面一行告诉cron程序在每月第一天的下午11:59分执行rkhunter数据库更新工作, 而且你的root用户会收到一封结果通知邮件.
