Linux下Rootkit后门检测工具chkrootkit安装使用
操作系统:CentOS
一、安装编译工具包
yum install gcc gcc-c++ make
yum install glibc-static
二、安装chkrootkit
cd /usr/local/src/
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz#下载软件包
tar zxvf chkrootkit.tar.gz#解压
cd chkrootkit-0.52
make sense#安装
mv /usr/local/src/chkrootkit-0.52 /usr/local/chkrootkit#拷贝到安装目录
三、使用chkrootkit
/usr/local/chkrootkit/chkrootkit
cd /usr/local/chkrootkit
./chkrootkit | grep INFECTED
出现INFECTED就说明系统可能有问题了
./chkrootkit | grep INFECTED
备注:CentOS 7.x 可能会出现下面的提示,原因是系统默认缺少netstat命令
chkrootkit: can’t find `netstat’.
yum whatprovides *netstat#查看命令所在的安装包
yum install net-snmp-utils net-tools#安装netstat命令即可
什么是后门程序
后门绕过安全性控制而获取对程序或系统访问权的方法。 在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。 如果后门被其他人知道,或是在发布软件之前没有删除后门,那么它就成了安全风险。 后门又称为Back Door —— 谈到它,就不得不先提一下相关知识:大家都知道,一台计算机上有个端口,那么如果把计算机看作是一间屋子,那么这个端口就可以它看做是计算机为了与外界连接所开的扇门。 为什么需要那么多扇门呢?因为主人的事务很繁忙,它为了同时处理很多应酬,就决定每扇门只对一项应酬的工作。 所以有的门是主人特地打开迎接客人的(提供服务),有的门是主人为了出去访问客人而开设的(访问远程服务)——理论上,剩下的其他门都该是关闭着的,但偏偏因为各种原因,有的门在主人都不知道的情形下,却被悄然开启。 于是就有好事者进入,主人的隐私被刺探,生活被打扰,甚至屋里的东西也被搞得一片狼迹。 这扇悄然被开启的门——就是今天我们要讲的“后门”。 当然,这只是一个比喻,事实上除了通过端口连接外,也可以通过串/并口,无线设备连接的方式进行入侵,为了行文方便,以下文中的“端口”泛指各种对外接口(interface)。 后门产生的必要条件后门产生的必要条件有以下三点:1.必须以某种方式与其他终端节点相连——由于后门的利用都是从其他节点进行访问,因此必须与目标机使用双绞线、光纤维、串/并口、蓝牙、红外等设备在物理信号上有所连接才可以对端口进行访问。 只有访问成功,双方才可以进行信号交流,攻击方才有机会进行入侵。 2.目标机默认开放的可供外界访问的端口必须在一个以上——因为一台默认无任何端口开放的机器是无法连接通信的,而如果开放着的端口外界无法访问,则同样没有办法进行入侵。 3.目标机存在程序设计或人为疏忽,导致攻击者能以权限较高的身份执行程序。 并不是任何一个权限的帐号都能够被利用的,只有权限达到操作系统一定要求的才允许执行修改注册表,修改log记录等相关修改。
超级巡警怎么样?杀毒防毒能力强吗?
它本身就是防木马辅助软件 超级巡警(Anti-Spyware Toolkit) 1、 软件简介: 专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。 提供了多种专业工具,提供系统 /IE修复、隐私保护和安全优化功能,提供了全面的系统监测功能,使你对系统的变化了如指掌,配合手动分析可近100%的查杀未知恶意代码! 2、主要特色: 1)通用的自动化Rootkit解决方案,不使用传统特征码,即可检测各种利用Rootkit技术隐藏的木马、后门。 2)全面检测隐藏进程、隐藏服务、隐藏端口。 3)自动检测和修复Winsock SPI链的相关错误。 4)系统内核服务描述表恢复,显示和摘除被Hook的内核函数,自动还原被Inline hook的内核函数。 5)独创的快速匹配算法,在最小的系统资源占用级别上进行最快的扫描检测。 6)扫描模块和实时监控共用引擎和库在内存中的同一份拷贝,大大降低系统资源占用,模块间高效协同工作。 7)内存扫描和静态分析预警系统有机结合。 8)立足于病毒家族的广谱特征,强力提高病毒检测率。 9)前瞻性的主动防御监测体系,全面检测未知木马。 10)国内首个支持NTFS数据流扫描,使检测更彻底。 11)纯绿色软件,解压即可使用。 3、主要功能: 启发预警,启动管理,IE插件管理,SPI链自动检测与修复,Rootkit检测,服务管理,隐藏服务检测,过滤微软默认服务,服务增加和删除, SSDT (服务描述表)恢复,进程管理,隐藏进程检测,DLL模块强制卸载,检测隐藏端口,断开连接,定位远程IP,WHOIS查询,关闭端口,IE修复,流氓插件免疫,恶意网站屏蔽,系统垃圾清理,智能扫描,文件粉碎机,软件卸载,系统优化,系统修复,漏洞检查和修复,右键查毒,漏洞检查和修复,系统诊断报告,论坛救援,启发扫描,NTFS数据流扫描,签名分析,全面扫描,内存扫描,目录扫描,信任列表,实时监控,智能升级。
关于360后门
360和瑞星都是有漏洞,黑客只要愿意攻击就可以轻松利用,这一点是可信的。 360和瑞星官方均称已经针对漏洞做了更新,且都互相指责对方没有修复漏洞。 具体的真相我想没有用户能知道。 建议近期上网要小心,上自己信赖的网站,不要盲目下载不明资源,更不要上黑客网站,以免被攻击——此事件肯定会引发黑客觊觎,不排除引发大规模网络安全事件的可能。 如果愿意的话,可以临时更换avast!、AVG、金山毒霸、卡巴斯基等杀毒软件。 本人目前正常开着360上网中,没有发现任何问题,只是360安全卫士界面上的“官方日志”写着几条讨伐瑞星的新闻。 不过建议近日养成安全上网习惯,刚刚在360网站上看到它抱怨黑客攻击了360漏洞。 其实360和瑞星相煎何太急?360免费推杀毒,杀毒市场占用量超过瑞星是肯定的,这一点想都不用想;而360杀毒毕竟还是免费的,做得肯定不够专业,不像收费的瑞星还可以详细设置,所以瑞星肯定能保住一些用户,还能有一定的利润来源。 瑞星和360在这事情上都有疑点,于瑞星乃是“微点门”的“前车之鉴”,于360乃是资金来源问题。 个人感觉跟秘密交易至少有点关联。 有新闻分析称:中国目前的杀毒行业还没有成熟,于是我们看到的就是杀毒行业一轮又一轮的口水仗。 ——于是,我们看到越来越多的用户在使用低调的江民,或是卡巴斯基、诺顿、Antiair等国外杀毒软件。 网上的意见肯定有很多,许多杀软迷都有自己心目中最好的杀毒软件,尤其是瑞星的fans和360的fans,他们肯定会更关注这次事件。 所以您甚至会看到,在这里,都有人说瑞星怎么垃圾或者360怎么垃圾。 个人推荐使用卡巴斯基杀毒软件。 其他软件也要有自己心目中最好的,例如音乐播放软件可以不用酷狗,因为上面只有一些非主流音乐有正版,可以到别处去下正版嘛。 还有视频软件、游戏等等...... 中国的一切都是在发展中的,一切都在发展中磨练。 而用户需要做的,就是坚持自己心目中的最好!
发表评论