如何在Ubuntu 18.04/CentOS上安装Chkrootkit 7
在本教程中,我将解释如何在我们最新的Ubuntu 18.04和CentOS 7系统上安装Chkrootkit。
Chkrootkit是一个常见的安全扫描程序,它可以帮助管理员搜索本地系统,以便将其感染"rootkit"。
rootkit可以被视为恶意程序,可以控制在没有计算机系统用户的情况下的计算机系统。
这意味着rootkit能够在目标机器上执行文件和更改系统配置,并且可以仅作为Linux机器的超级用户执行更多。
请记住,我们可以使用Chkrootkit来查找与rootkit关联的文件和进程,但我们不能100%确定找到并删除所有rootkits。
通过确保所有应用程序和软件是最新的,我们可以通过rootkits维护系统,并将系统保留修补所有已知的漏洞。
在Ubuntu 18.04上安装Chkrootkit
在Ubuntu 18.04服务器上安装ChkRootkit几乎更容易,因为它在Ubuntu存储库包本身中可用。
我们可以通过在下面运行命令来安装它:
# apt-get update # apt install chkrootkit # chkrootkit -V chkrootkit version 0.52
我们只需要确保我们有root权限在那里使用chkrootkit。
启用自动服务器扫描
ubuntu存储库中的Chkrootkit包具有CRONTAB配置。
此CRONTAB计划每天运行。
要启用每日检查,可以打开/etc/chkrootkit.conf并按以下修改此文件:
替换第一行:
run_daily ="false"
和
run_daily ="true"
在CentOS 7.5上安装Chkrootkit
Centos存储库包中不可用此工具。
因此,我们需要下载最新的可用版本并配置它。
1.安装C/C++编译器和库
Chkrootkit有C程序。
在编译Chkrootkit源包之前,需要安装GCC(C和C++编译器)和GLIBC-静态包,以避免此过程中的任何错误。
#yum update #yum install wget gcc-c++ glibc-static
2.下载最新的Chkrootkit
如前所述,我们可以从Chkrootkit下载最新的Chkrootkit下载。
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
3.下载包MD5哈希文件
接下来,我们可以下载与我们的Chkrootkit下载关联的MD5哈希文件,以验证它是否篡改或者损坏。
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5 # md5sum -c chkrootkit.md5 chkrootkit.tar.gz: OK
4.提取压缩文件并安装
现在我们可以移动到下载的文件夹并提取它。
我们可以在同一路径上提取它并将Chkrootkit二进制文件移动到/usr/bin文件夹,或者我们可以通过该名称将提取的内容移动到单独的文件夹中,如此介绍并安装它。
无论哪种方式都会起作用。
#tar –xzf chkrootkit.tar.gz #mkdir /usr/local/chkrootkit #mv chkrootkit-0.52/* /usr/local/chkrootkit #cd /usr/local/chkrootkit #make sense
现在,我们可以运行chkrootkit来扫描服务器。
/usr/local/chkrootkit/chkrootkit
5.启用自动服务器扫描
我们可以自动添加CHKROOTKIT的CRON条目,并将扫描报告发送到邮件地址。
创建并将以下条目添加到"/etc/cron.daily/chkrootkit.sh"
#!/bin/sh ( /usr/local/chkrootkit/chkrootkit ) | /bin/mail -s 'CHROOTKIT Daily Run (ServerName)' [email protected]
我们还可以在系统上安装其他安全Scanner,以获得更好的安全性。
了解Chkrootkit.
Chkrootkit是一个执行rootkit检查的工具。
这最重要的是包含一个名为chkrootkit的shell脚本,它扫描了所有系统二进制文件的任何rootkit修改。
此外,它包含几个C程序,它执行各种安全检查,如下所示:
IFPROMISC.C:此检查网络接口是否处于混杂模式。
chklastlog.c:此检查lastlog删除。
chkwtmp.c:此检查WTMP删除。
chkproc.c:这检查了LKM特洛伊木马的迹象。
Chkdirs.c:这检查了LKM特洛伊木马的迹象。
strings.c:这执行了快速且肮脏的字符串更换。
chkutmp.c:此检查UTMP删除。
用法
运行此工具的最简单方法是使用命令"chkrootkit"作为root。
这将执行所有任务。
但是如果要在运行此命令时选择任何特定选项,则我们可以在下面列出各种选项:
`-h:打印一个简短的帮助消息和退出
# chkrootkit -h Usage: /usr/sbin/chkrootkit [options] [test ...] Options: -h show this help and exit -V show version information and exit -l show available tests and exit -d debug -q quiet mode -x expert mode -e exclude known false positive files/dirs, quoted, space separated, READ WARNING IN README -r dir use dir as the root directory -p dir1:dir2:dirN path for the external commands used by chkrootkit -n skip NFS mounted dirs
`-v:打印版本信息和退出
# chkrootkit -V chkrootkit version 0.52
`-L:打印可用的测试
# chkrootkit -l /usr/sbin/chkrootkit: tests: aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp OSX_RSPLUG amd basename biff chfn chsh cron crontab date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write
-D:输入调试模式.``-x:输入专家模式.`` -e:排除已知的假正面文件/dirs,引用,space pected.
`-q:输入安静模式。
在此模式下,仅显示了具有"受感染"状态的输出消息
# chkrootkit -q Checking `tcpd'... INFECTED /lib/modules/4.15.0-20-generic/vdso/.build-id /lib/modules/4.15.0-23-generic/vdso/.build-id /lib/modules/4.15.0-20-generic/vdso/.build-id /lib/modules/4.15.0-23-generic/vdso/.build-id not tested INFECTED PORTS: ( 465) eth0: PACKET SNIFFER(/lib/systemd/systemd-networkd[536]) not tested
`-R目录:使用dir作为根目录。
# chkrootkit -r /mnt/; This will check all files under this specified directory.
-p dir1:dir2:dirn:我们可以使用此选项添加与冒号分离的更多二进制路径。
# ./chkrootkit -p /cdrom/bin:/floppy/mybin
-n:跳过nfs已安装的dirs
