使用chkrootkit工具检查linux服务器是否被攻击-阿里云开发者社区

使用chkrootkit工具检查linux服务器是否被攻击

2017-11-27 1182

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

在检查linux是否被攻击的时候，可以通过如下几个简单方法：
1) ps awuxf 查看进程
2) rpm -V SysinitV检查关键系统包　　
但是，如果ps和rpm命令本身都被替换掉了，则无法检查出问题。
这里可以使用chkrootkit的工具检查，这是一个开放源代码的安全检测工具
他的官方网站是www.chkrootkit.org 。

首先下载chkrootkit工具（这里提供的是for redhat as4 linux 的版本）
　wget http://www.swsoft.com.cn/downloads/Prima/Tools/chkrootkit-0.47-2.i386.rpm

安装这个rpm包
rpm -ivh chkrootkit-0.47-2.i386.rpm

运行
chkrootkit

查看输出的结果：
root@3.5.5Biz-46 ~]# chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected 　　Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected

其中not infected就表示没有被感染。

注意，在prima for linux的服务器上，可能会出现误报：
Checking `scalper'... Warning: Possible Scalper Worm installed
　　这是因为，prima for linux的功能服务器安装了acasd后台服务
　　而acasd占用的端口正好是2001，和名为Scalper Worm的蠕虫占用的端口相同
　　所以可能会被误报为病毒。
　　关于Scalper Worm的信息，可查看Symantec的官方报告：
　　http://www.symantec.com/security_response/writeup.jsp?docid=2002-062814-5031-99
　　
　　Symantec的官方报告中提到：
　　* Distribution Level: Low
　　* Ports: 2001
　　* Target of Infection: unpatched Apache Webservers on the FreeBSD operating system
　　
　　就是其中的port 2001引起误报。
　　
　　在chkrootkit中的chkrootkit的源代码中，也可以找到如下代码：
　　scalper (){
　　SCALPER_FILES="${ROOTDIR}tmp/.uua ${ROOTDIR}tmp/.a"
　　SCALPER_PORT=2001
　　OPT=-an
　　STATUS=0
　　
　　if ${netstat} "${OPT}" | ${egrep} "0.0:${SCALPER_PORT} "> /dev/null 2>&1; then
　　STATUS=1
　　fi
　　for i in ${SCALPER_FILES}; do
　　if [ -f ${i} ]; then
　　STATUS=1
　　fi
　　done
　　if [ ${STATUS} -eq 1 ] ;then
　　echo "Warning: Possible Scalper Worm installed"
　　else
　　if [ "${QUIET}" != "t" ]; then echo "not infected"; fi
　　return ${NOT_INFECTED}
　　fi
　　}

本文转自 linuxpp 51CTO博客，原文链接：http://blog.51cto.com/1439337369/1743202，如需转载请自行联系原作者

使用chkrootkit工具检查linux服务器是否被攻击

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像