应急响应--linux常用查杀工具:Rootkit查杀

         Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit一词更多地是指被作为驱动程序，加载到操作系统内核中的恶意软件。

          rootkit主要有两种类型：文件级别和内核级别。
文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后，通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后，合法的文件被木马程序替代，变成了外壳程序，而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit，对系统维护很大，目前最有效的防御方法是定期对系统重要文件的完整性进行检查，如Tripwire、aide等。 

内核级rootkit: 是比文件级rootkit更高级的一种入侵方式，它可以使攻击者获得对系统底层的完全控制权，此时攻击者可以修改系统内核，进而截获运行程序向内核提交的命令，并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上，它并不对系统文件做任何修改。以防范为主。

1、chkrootkit
网址：http://www.chkrootkit.org
使用方法：
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52
make sense
#编译完成没有报错的话执行检查
./chkrootkit

chkrootkit是一个linux下检RootKit的脚本，在某些检测中会调用当前目录的检测程序。
检测方法如下：
搜索通用的ROOTKIT特征的字符串
对某种特定的rootkits，或者命令的特殊的感染特征进行检测
对某种特定的rootkits的生成的特定文件的检测
对程序的SUID位的设置进行检测
对ldsopreload的检测
查找可疑的log文件
查找可疑的php文件
检测.history文件
检测有无程序监听了一些可疑的端口
检测Linux可加载内核模块
检测有无隐藏进程
检测目录的软链接异常
检测网络接口的异常
检测用户的登录日志
检测上一次登录
检测可疑的没有tty记录的进程

2、rkhunter
网址：http://rkhunter.sourceforge.net
使用方法：
Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c

rkhunter是Linux系统平台下的一款开源入侵检测工具，具有非常全面的扫描范围，除了能够检测各种已知的rootkit特征码以外，还支持端口扫描、常用程序文件的变动情况检查。

它主要执行下面一系列的测试:
    1)MD5校验测试, 检测任何文件是否改动.
    2)检测rootkits使用的二进制和系统工具文件.
    3)检测特洛伊木马程序的特征码.
    4)检测大多常用程序的文件异常属性.
    5)执行一些系统相关的测试 - 因为rootkit hunter可支持多个系统平台.
    6)扫描任何混杂模式下的接口和后门程序常用的端口.
    7)检测如/etc/rc.d/目录下的所有配置文件, 日志文件, 任何异常的隐藏文件等等. 例如, 在检测/dev/.udev和/etc/.pwd.lock文件时候, 我的系统被警告.
    8)对一些使用常用端口的应用程序进行版本测试. 如: Apache Web Server, Procmail等.