Rootkit Hunter

一：概念

Rootkit：Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。如果有相应的权限进入系统后，他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。他通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中信息。用rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入系统了。

Rootkit Hunter：简单的说下，linux下的杀毒软件，但是只具有检测功能，不具备杀毒功能。得手动进行查杀。

二：Rootkit Hunter的功能

1》检测系统重要的文档的MD5码，保证文件的完整性。

自身的MD5码与官方的MD5码进行比对，一样的话就没有被攻击。和我们平常下载游戏的时候见到的官网出示的MD5码一样，如果下载之后不一样，你打开它干嘛？说哈哈终于我中木马了。。。

2》检测易受攻击的文件

因为Rootkit为了达到效果取得系统的控制权限，他们会主动更改一些文档，最重要的是一些特别重要的文档。所以，你进行Hunter的检测这些文档，就可以发现有么被Rootkit攻击

3》检测隐藏文件

我们知道linux的隐藏文件都是在名称前面加一个“.”攻击者可以通过这些隐藏文见来隐藏他的主程序，同样使用Hunter可以分析进行查找

4》检测重要文件的权限

大家知道一些重要的文件权限，如；/bin/ls具有755权限，而许多木马程序做了更改之后会成为777的权限，从中可以判断是不是有问题

5》检测内核模块

linux的核心功能具有LKM性（Loadable Kernel Module）系统做什么由其系统决定。。。

6》检测系统端口号

7》检测木马常攻击的文件

一些特定的木马或后门，会在系统上建立一个特殊的文档，这些文档名是不变的。。。

三：下载Rootkit Hunter地址

http://cdnetworks-kr-2.dl.sourceforge.net/project/rkhunter/rkhunter/1.3.8/rkhunter-1.3.8.tar.gz





四：安装程序













五：使用

安装后就可以向系统命令一样，可以直接运行rkhunter --checkall





我来说说前面说地要检测的五部分

第一部分：检测重要文件的MD5码

第二部分：检测常见rootkit攻击文件和目录

第三部分：检测常见木马端口

第四部分：检测本机信息

第五部分：检测安全套件

总结信息

为了方便我们可以进行无人值守（就是不用去手工的敲回车了）进行如下命令就可





在检测期间如果你有幸看到红色的字体，那么就要留心注意喽。。。