使用chkrootkit工具检查linux是否被攻入(Use the chkrootkit tool to check if the Linux has been scored).doc
- 1、本文档共3页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
使用chkrootkit工具检查linux是否被攻入(Use the chkrootkit tool to check if the Linux has been scored)
使用chkrootkit工具检查linux是否被攻入(Use the chkrootkit tool to check if the Linux has been scored)
使用chkrootkit工具检查linux是否被攻入
在检查linux是否被攻击的时候,可以通过如下几个简单方法:
1) ps awuxf 查看进程
2) rpm -V SysinitV检查关键系统包
但是,如果ps和rpm命令本身都被替换掉了,则无法检查出问题。
这里可以使用chkrootkit的工具检查,这是一个开放源代码的安全检测工具
他的官方网站是 。
首先下载chkrootkit工具(这里提供的是for redhat as4 linux 的版本)
wget /downloads/Prima/Tools/chkrootkit-0.47-2.i386.rpm
安装这个rpm包
rpm -ivh chkrootkit-0.47-2.i386.rpm
运行
chkrootkit
查看输出的结果:
root@3.5.5Biz-46 ~]# chkrootkit
ROOTDIR is `/
Checking `amd... not found
Checking `basename... not infected
Checking `biff... not found
Checking `chfn... not infected
Checking `chsh... not infected
Checking `cron... not infected
Checking `crontab... not infected
Checking `date... not infected
Checking `du... not infected
Checking `dirname... not infected
Checking `echo... not infected
Checking `egrep... not infected
Checking `env... not infected
Checking `find... not infected
Checking `fingerd... not found
Checking `gpm... not infected
Checking `grep... not infected
其中not infected就表示没有被感染。
注意,在prima for linux的服务器上,可能会出现误报:
Checking `scalper... Warning: Possible Scalper Worm installed
这是因为,prima for linux的功能服务器安装了acasd后台服务
而acasd占用的端口正好是2001,和名为Scalper Worm的蠕虫占用的端口相同
所以可能会被误报为病毒。
关于Scalper Worm的信息,可查看Symantec的官方报告:
/security_response/writeup.jsp?docid=2002-062814-5031-99
Symantec的官方报告中提到:
* Distribution Level: Low
* Ports: 2001
* Target of Infection: unpatched Apache Webservers on the FreeBSD operating system
就是其中的port 2001引起误报。
在chkrootkit中的chkrootkit的源代码中,也可以找到如下代码:
scalper (){
SCALPER_FILES=${ROOTDIR}tmp/.uua ${ROOTDIR}tmp/.a
SCALPER_PORT=2001
OPT=-an
STATUS=0
if ${netstat} ${OPT} | ${egrep} 0.0:${SCALPER_PORT} /dev/null 21; then
STATUS=1
fi
for i in ${SCALPER_FILES}; do
if [ -f ${i} ]; then
STATUS=1
fi
done
if [ ${STATUS} -eq 1 ] ;then
echo Warning: Possible Scalper Worm installed
else
if [ ${QUIET} != t ]; then echo not infected; fi
return ${NOT_INFECTED}
fi
}
也可以确认对于acasd的检测报告是误报
文档评论(0)