使用chkrootkit工具检查linux是否被攻入（Use the chkrootkit tool to check if the Linux has been scored）.docVIP

下载本文档

7
0
约1.99千字
约 3页
2017-08-24 发布于河南
举报
版权申诉

使用chkrootkit工具检查linux是否被攻入（Use the chkrootkit tool to check if the Linux has been scored）.doc

1、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

使用chkrootkit工具检查linux是否被攻入（Use the chkrootkit tool to check if the Linux has been scored）

使用chkrootkit工具检查linux是否被攻入（Use the chkrootkit tool to check if the Linux has been scored）使用chkrootkit工具检查linux是否被攻入在检查linux是否被攻击的时候，可以通过如下几个简单方法： 1) ps awuxf 查看进程 2) rpm -V SysinitV检查关键系统包但是，如果ps和rpm命令本身都被替换掉了，则无法检查出问题。这里可以使用chkrootkit的工具检查，这是一个开放源代码的安全检测工具他的官方网站是。首先下载chkrootkit工具（这里提供的是for redhat as4 linux 的版本） wget /downloads/Prima/Tools/chkrootkit-0.47-2.i386.rpm 安装这个rpm包 rpm -ivh chkrootkit-0.47-2.i386.rpm 运行 chkrootkit 查看输出的结果： root@3.5.5Biz-46 ~]# chkrootkit ROOTDIR is `/ Checking `amd... not found Checking `basename... not infected Checking `biff... not found Checking `chfn... not infected Checking `chsh... not infected Checking `cron... not infected Checking `crontab... not infected Checking `date... not infected Checking `du... not infected Checking `dirname... not infected Checking `echo... not infected Checking `egrep... not infected Checking `env... not infected Checking `find... not infected Checking `fingerd... not found Checking `gpm... not infected Checking `grep... not infected 其中not infected就表示没有被感染。注意，在prima for linux的服务器上，可能会出现误报： Checking `scalper... Warning: Possible Scalper Worm installed 这是因为，prima for linux的功能服务器安装了acasd后台服务而acasd占用的端口正好是2001，和名为Scalper Worm的蠕虫占用的端口相同所以可能会被误报为病毒。关于Scalper Worm的信息，可查看Symantec的官方报告： /security_response/writeup.jsp?docid=2002-062814-5031-99 Symantec的官方报告中提到： * Distribution Level: Low * Ports: 2001 * Target of Infection: unpatched Apache Webservers on the FreeBSD operating system 就是其中的port 2001引起误报。在chkrootkit中的chkrootkit的源代码中，也可以找到如下代码： scalper (){ SCALPER_FILES=${ROOTDIR}tmp/.uua ${ROOTDIR}tmp/.a SCALPER_PORT=2001 OPT=-an STATUS=0 if ${netstat} ${OPT} | ${egrep} 0.0:${SCALPER_PORT} /dev/null 21; then STATUS=1 fi for i in ${SCALPER_FILES}; do if [ -f ${i} ]; then STATUS=1 fi done if [ ${STATUS} -eq 1 ] ;then echo Warning: Possible Scalper Worm installed else if [ ${QUIET} != t ]; then echo not infected; fi return ${NOT_INFECTED} fi } 也可以确认对于acasd的检测报告是误报