一、基本介绍
rkhunter 是 Linux 系统下一个用于检测 rootkit 和后门程序的开源安全工具。
rkhunter 的全称是 "Rootkit Hunter",它可以帮助系统管理员检测已知的 rootkit 和其他可疑文件/进程。
rkhunter 的主要功能包括:
检查已知的 rootkit 和后门文件的哈希签名
检查可执行文件和库文件的修改时间戳
检查进程列表,检测隐藏的进程
检查系统配置文件(如 hosts 文件等)的完整性
检查网络端口的开放情况
检查进程和文件是否有可疑的隐藏属性设置
rkhunter 会按照预设的规则进行全面扫描,并输出报告可能存在的可疑文件和配置。
使用 rkhunter 需要ROOT权限,典型的用法是:
rkhunter -c #更新数据和属性数据库rkhunter -C #更新哈希数据库rkhunter -c --check #进行完整检查
rkhunter 不会自动删除或清除发现的可疑文件,需要管理员进一步分析和处理。所以它主要作为辅助检测工具,combineAI: rkhunter是一个开源的Rootkit检测工具,可以帮助Linux系统管理员检测已知的rootkit和后门程序。它通过校验文件哈希、检查时间戳、扫描进程、检查网络端口等方式来发现可疑的痕迹。
rkhunter本身不会自动清除病毒,需要管理员进一步分析处理。使用rkhunter可以增强Linux系统的安全防护能力,防范后门程序和隐藏进程等威胁。但它也需要配合其他安全手段进行全面防护。
二、基本介绍
rkhunter 和防病毒软件可以很好地配合使用,形成系统安全的多层防护:
防病毒软件可以检测木马病毒、蠕虫等已知威胁,提供实时监控。而rkhunter专注检测rootkit和隐藏后门。两者保护范围互补。
防病毒软件可以主动扫描文件和进程,rkhunter更专注系统完整性检查。扫描途径不同。
防病毒软件检测到威胁可以直接清除,rkhunter仅报告不删除。可以相互确认检测结果。
防病毒软件监控网络流量,rkhunter检查开放端口,从不同层面发现威胁。
两者都需要实时更新特征库才能检测新的威胁。可以共享更新信息。
防病毒软件可以与rkhunter集成,如ClamAV就可以调用rkhunter扩展检测能力。
两者的扫描结果可以关联分析,挖掘更多系统内部威胁。
防病毒软件提供主动防护,rkhunter提供被动检测。两者结合可以全面提高系统安全性。
总之,两者结合使用可以实现零死角的威胁监测,发挥各自优势,为系统全面安全保驾护航。但也需要人工分析判断结果,进行处置。
三、rkhunter 的安装
1、yum安装(略)
2、使用安装包进行安装
wget https://zenlayer.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gztar -xvf rkhunter-1.4.6.tar.gzcd rkhunter-1.4.6/./installer.sh --install
四、常用操作命令
建立校对样本:
rkhunter --propupdls /var/lib/rkhunter/db/rkhunter.dat #样本文件位置
在线升级
rkhunter --versioncheckrkhunter --update
执行扫描检查命令
rkhunter --checkrkhunter -c --rwo #(report-warnings-only,只显示报警信息)/usr/local/bin/rkhunter --check --skip-keypress #后台运行,无需手工确认
检测日志保存位置为:/var/log/rkhunter.log
