我们需要知道的第一件事是Rootkit到底是什么? 因此,我们将答案留给维基百科:
Rootkit是一种程序,该程序允许对计算机的连续特权访问,但会通过破坏操作系统或其他应用程序的正常运行,主动将其存在隐藏在管理员的控制之下。 该术语来自英语单词“ root”(意味着root(Unix操作系统中特权帐户的传统名称))和英语单词“ kit”(意味着实现工具集)的串联,程序)。 术语“ rootkit”具有与恶意软件相关联的否定含义。
换句话说,它通常与恶意软件相关联,这些恶意软件会隐藏自身以及其他程序,进程,文件,目录,注册表项和端口,从而使入侵者能够维持对各种操作系统(例如GNU / Linux,Solaris)的访问权限或Microsoft Windows远程命令操作或提取敏感信息。
好吧,一个很好的定义,但是我该如何保护自己? 好吧,在这篇文章中,我不会谈论如何保护自己,而是谈论如何知道我们的操作系统中是否有Rootkit。 我把它留给我的同事进行保护protection
我们要做的第一件事是安装软件包 猎手。 在其余的发行版中,我想您知道如何做到这一点, Debian:
$ sudo aptitude install rkhunter
更新
在档案中 / etc /默认/ rkhunter 定义数据库每周更新一次,验证 的rootkit 是每天的工作,并且将结果通过电子邮件发送给系统管理员(根).
但是,如果要确定,可以使用以下命令更新数据库:
root@server:~# rkhunter --propupd
如何使用它?
要检查我们的系统是否没有这些“错误”,我们只需执行以下命令:
$ sudo rkhunter --check
该应用程序将开始执行一系列检查,并最终要求我们按Enter键继续。 可以在文件/var/log/rkhunter.log中查询所有结果
它给了我一些东西 像这样.
如果找到“警告”,如何消除它们? =)
在文件/var/log/rkhunter.log中,它们为您解释了为什么在大多数情况下可以忽略警告的原因。
最好的祝福。
谢谢给了我类似的摘要,我得到了警告
系统检查摘要
=====================
文件属性检查...
检查文件:133
可疑文件:1
Rootkit检查...
已检查Rootkit:242
可能的rootkit:0
应用检查...
跳过所有检查
系统检查耗时:1分46秒
所有结果均已写入日志文件(/var/log/rkhunter.log)
感谢您提供的技巧,经过测试的零结果RootKit。
我对bash不太了解,但是对于我的拱门,我做了以下etc / cron.dayli / rkhunter
#!/ bin / sh的
RKHUNTER =»/ usr / bin / rkhunter»
DATE =»echo -e'\ n #################### date日期################## ##'»
DIR =»/ var / log / rkhunter.daily.log»
$ {DATE} >> $ {DIR}; $ {RKHUNTER} –更新; $ {RKHUNTER} –cronjob –report-warnings-only >> $ {DIR}; export DISPLAY =:0 &&通知发送“ RKhunter已检查”
它所做的是更新并基本查找rootkit,并将结果留在文件中
经过测试,0 RootKit,感谢您的输入。
系统检查摘要
=====================
文件属性检查...
检查文件:131
可疑文件:0
Rootkit检查...
已检查Rootkit:242
可能的rootkit:2
Rootkit名称:Xzibit Rootkit,Xzibit Rootkit
Xzibit Rootkit……这是什么??? 我必须删除它。 先谢谢您的帮助。 问候。
查看此链接: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
可能解决您的问题。
感谢您的链接,奥斯卡。 它彻底解决了我的问题。 我不敢相信,这是我的Debian Stable中的一个错误。 启示录即将来临:问候。
0个rootkit s
我觉得很奇怪,java(/etc/.java)创建的隐藏文件夹出了警告。
笑
好的输入,谢谢。
问候。
嗨,埃拉夫。 我已经很长时间没有在这里发表评论了,尽管每次我都能阅读一些文章。
就在今天,我正在审查安全性问题,后来发现了可爱的<.Linux
我跑了rkhunter并收到了一些警报:
/usr/bin/unhide.rb [警告]
警告:命令“ /usr/bin/unhide.rb”已被脚本替换:/usr/bin/unhide.rb:Ruby脚本,ASCII文本
检查passwd文件更改[警告]
警告:用户'postfix'已添加到passwd文件中。
检查组文件的更改[警告]
警告:组'postfix'已添加到组文件中。
警告:组“ postdrop”已添加到组文件中。
检查隐藏的文件和目录[警告]
警告:找到隐藏目录:/etc/.java
警告:找到隐藏目录:/dev/.udev
警告:找到隐藏文件:/dev/.initramfs:指向`/ run / initramfs'的符号链接
警告:找到隐藏文件:/usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme:ASCII文本
警告:找到隐藏文件:/usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath:XML文档文本
警告:找到隐藏文件:/usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project:XML文档文本
我应该如何解释它们以及如何解决这些警告?
注意:我看到最后一个与sdk-android有关,我最近安装了sdk-android来测试应用程序(我们可以删除它的rootkit端并继续使用它,还是没有它更好?)。
问候,我再次向KZKG ^ Gaara,您以及所有其他合作者表示祝贺(我看到团队已经发展壮大)。
打扰一下安装,但是当我运行此命令时,我得到了
命令:
猎人 -c
错误:
无效的BINDIR配置选项:找到的目录无效:JAVA_HOME = / usr / lib / jvm / java-7-oracle
而且我什么也不扫描,它只是保持这种状态,而我无能为力或如何解决呢?
你好,我得到了这个结果,你能帮我...谢谢
检查网络...
在网络端口上执行检查
检查后门端口[未找到]
检查隐藏的端口[已跳过]
在网络接口上执行检查
检查混杂接口[未找到]
检查本地主机...
执行系统启动检查
检查本地主机名[找到]
检查系统启动文件[找到]
检查系统启动文件中是否存在恶意软件[未找到]
执行组和帐户检查
检查passwd文件[找到]
正在检查等效根(UID 0)帐户[未找到]
正在检查无密码帐户[未找到]
检查passwd文件更改[警告]
检查组文件的更改[警告]
检查root帐户shell历史记录文件[未找到]
执行系统配置文件检查
正在检查SSH配置文件[找不到]
检查正在运行的syslog守护程序[找到]
检查syslog配置文件[找到]
检查是否允许syslog远程日志记录[不允许]
执行文件系统检查
检查/ dev中的可疑文件类型[警告]
检查隐藏的文件和目录[警告]