天天看點

rootkit後門檢查工具RKHunter

一、概述

簡介

中文名叫”Rootkit獵手”,

rkhunter是Linux系統平台下的一款開源入侵檢測工具,具有非常全面的掃描範圍,除了能夠檢測各種已知的rootkit特征碼以外,還支援端口掃描、常用程式檔案的變動情況檢查。

rkhunter的官方網站位于http://www.rootkit.nl/,注意:官網不能直接打開,必須要能通路谷歌才行。

目前最新的版本是rkhunter-1.4.6。

源碼下載下傳連結:

http://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz      

rootkit是什麼?

   rootkit是Linux平台下最常見的一種木馬後門工具,它主要通過替換系統檔案來達到入侵和和隐蔽的目的,這種木馬比普通木馬後門更加危險和隐蔽,普通的檢測工具和檢查手段很難發現這種木馬。rootkit攻擊能力極強,對系統的危害很大,它通過一套工具來建立後門和隐藏行迹,進而讓攻擊者保住權限,以使它在任何時候都可以使用root  權限登入到系統。

           rootkit主要有兩種類型:檔案級别和核心級别。

   檔案級别的rootkit: 一般是通過程式漏洞或者系統漏洞進入系統後,通過修改系統的重要檔案來達到隐藏自己的目的。在系統遭受rootkit攻擊後,合法的檔案被木馬程式替代,變成了外殼程式,而其内部是隐藏着的後門程式。通常容易被rootkit替換的系統程式有login、ls、ps、ifconfig、du、find、netstat等。檔案級别的rootkit,對系統維護很大,目前最有效的防禦方法是定期對系統重要檔案的完整性進行檢查,如Tripwire、aide等。 

   核心級rootkit: 是比檔案級rootkit更進階的一種入侵方式,它可以使攻擊者獲得對系統底層的完全控制權,此時攻擊者可以修改系統核心,進而截獲運作程式向核心送出的指令,并将其重定向到入侵者所選擇的程式并運作此程式。核心級rootkit主要依附在核心上,它并不對系統檔案做任何修改。以防範

為主。

二、安裝rkhunter

環境說明

作業系統:centos 6.9

目前有一台伺服器,負載比較高,cpu使用率為:85%。

使用top檢視程序,發現最高的程序,在1%左右。一直不明白,為何負載如此之高,懷疑中了木馬程式。

安裝

直接yum安裝

yum install -y rkhunter      

線上更新rkhunter

rkhunter是通過一個含有rootkit名字的資料庫來檢測系統的rootkits漏洞, 是以經常更新該資料庫非常重要, 你可以通過下面指令來更新該資料庫:

rkhunter --update      

為基本系統程式建立校對樣本,建議系統安裝完成後就建立

rkhunter --propupd      

運作rkhunter檢查系統

它主要執行下面一系列的測試:

    1. MD5校驗測試, 檢測任何檔案是否改動.

    2. 檢測rootkits使用的二進制和系統工具檔案.

    3. 檢測特洛伊木馬程式的特征碼.

    4. 檢測大多常用程式的檔案異常屬性.

    5. 執行一些系統相關的測試 - 因為rootkit hunter可支援多個系統平台.

    6. 掃描任何混雜模式下的接口和後門程式常用的端口.

    7. 檢測如/etc/rc.d/目錄下的所有配置檔案, 日志檔案, 任何異常的隐藏檔案等等. 例如, 在檢測/dev/.udev和/etc/.pwd.lock檔案時候, 我的系統被警告.

    8. 對一些使用常用端口的應用程式進行版本測試. 如: Apache Web Server, Procmail等.

如果您不想要每個部分都以 Enter 來繼續,想要讓程式自動持續執行,可以使用:

rkhunter --check --sk      

輸出如下:

[ Rootkit Hunter version 1.4.6 ]
...
/sbin/chkconfig                                          [ OK ]
/sbin/depmod                                             [ OK ]
...
/bin/chown                                               [ Warning ]
...
/bin/date                                                [ Warning ]

...
/usr/bin/top                                             [ Warning ]
...
/usr/bin/vmstat                                          [ Warning ]
...
System checks summary
=====================

File properties checks...
    Files checked: 134
    Suspect files: 4

Rootkit checks...
    Rootkits checked : 502
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 1 minute and 57 seconds

All results have been written to the log file: /var/log/rkhunter/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter/rkhunter.log)      

從以上資訊可以看出,已經有4個系統指令,被串改了。

三、一些解決思路

如果您的系統經過 rkhunter 的檢測之後,卻發現很多的『紅字』時,該怎麼辦?很簡單, 可以參考這個網頁提供的方法:

http://www.rootkit.nl/articles/rootkit_hunter_faq.html

    基本上,官方網站與一般網管老手的建議都一樣,如果被 rootkit 之類的程式包攻擊後 ( 也就是上一節的檢測表中的第二部分所攻擊時 ),那麼最好最好直接重新安裝系統, 不要存在說可以移除 rootkit 或者木馬程式的幻想,因為,『隐藏』本來就是 rootkit 與木馬程式的拿手好戲! 我們不知道到底這個 rootkit 或者木馬程式有多剽悍,為了保險起見,還是重灌系統吧!如何重灌?簡單的說:

    1.将原主機的網絡線拔除;

    2.備份您的資料,最好備份成兩部分,一部份是全部的系統内容,越詳盡越好,包括 binary files 與 logfile 等等, 至于另一部份則可以考慮僅備份重要的資料檔案即可!

    3.将上個步驟的資料備份(僅重要資料部分!)進行整體的檢查,察看是否有怪異的資料存在(這部分可能會花去不少時間!)

    4.重新安裝一部完整的系統,這包括:

    o僅安裝需要的套件在伺服器上面;

    o先進行 簡單的防火牆 設定後才進行聯機;

    o以 APT/YUM 之類的工具進行線上更新;

    o執行類似 rkhunter/nessus 之類的軟體,檢驗系統是否處在較為安全的狀态

    5.将原本的重要資料移動至上個步驟安裝好的系統當中,并啟動原本伺服器上面的各項服務;

    6.以 rkhunter/nessus 之類的軟體檢驗系統是否處在較為安全的環境,并且加強防火牆的機制!

    7.最後,将原本完整備份的資料拿出來進行分析,尤其是 logfile 部分,試圖找出 cracker 是藉由那個服務?那個時間點? 以那個遠端 IP 聯機進入本機等等的資訊,并針對該資訊研拟預防的方法,并應用在已經運作的機器上。

是以,隻有重新安裝系統,服務重新部署才是最妥當的辦法。

本文參考連結:

https://www.cnblogs.com/cp-miao/p/6141025.html

繼續閱讀