【一点一滴，成材之基！】 Linux后门Trojan Horse检测工具

目录：
（一）Trojan Horse后门工具了解
（二）rootkit后门检测工具chkrootkit
（三）rootkit后门检测工具RKHunter

---

（一）Trojan Horse后门工具了解
(1.1)rootkit是Linux平台下最多见的一种Trojan Horse后门工具，它主要经过替换系统文件来达到attack和隐蔽的目的，这种Trojan Horse比普通Trojan Horse后门更加危险和隐蔽，普通的监测工具和检查手段很难发现这种Trojan Horse。rootkit的 accuse能力极强，对系统的危害很大，它经过一套工具来创建后门和隐藏行迹，从而让 accuse者保住权限，以使它在任什么时候候均可以使用root权限登陆到系统。

(1.2)rootkit主要有两种类型：文件级别和内核级别，下面分别进行简单介绍。
(1.2.1)文件级别的rootkit通常是经过程序漏洞或者系统漏洞进入系统后，经过修改系统的重要文件来达到隐藏本身的目的。在系统遭受rootkit的 accuse后，合法的文件被Trojan Horse程序替代，变成了外壳程序，而其内部是隐藏着的后门程序。一般容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等，其中login程序是最常常被替换的，由于当访问Linux时，不管是经过本地登陆仍是远程登陆，/bin/login程序都会运行，系统将经过/bin/login来收集并核对用户的帐号和密码，而rootkit就是利用这个程序的特色，使用一个带有权限后门密码的/bin/login来替换系统的/bin/login，这样accuse者经过输入设定好的密码就能轻松进入系统。此时，即便系统管理员修改root密码或者清除root密码，accuse者仍是同样能经过root用户登陆系统。accuse者一般在进入Linux系统后，会进行一系列的accuse动做，最多见的是安装嗅探器收集本机或者网络中其余服务器的重要数据。在默认状况下，Linux中也有一些文件系统会监控这些工具动做，例如ifconfig命令，因此，accuse者为了不被发现，会千方百计替换其余文件系统，常见的就是ls、ps、ifconfig、du、find、netstat等。若是这些文件都被替换，那么在系统层面就很难发现rootkit已经在系统中运行了。这就是文件级别的rootkit，对系统危害很大，目前最有效的防护方法是按期对系统重要文件的完整性进行检查，若是发现文件被修改或者被替换，那么极可能系统已经遭受了rootkit的attack。检查文件完整性的工具不少，常见的有Tripwire、aide等，能够经过这些工具按期检查文件系统的完整性，以检测系统是否被rootkit的attack。
(1.2.2)内核级rootkit是比文件级rootkit更高级的一种attack方式，它可使accuse者得到对系统底层的彻底控制权，此时accuse者能够修改系统内核，进而截获运行程序向内核提交的命令，并将其重定向到attack者所选择的程序并运行此程序，也就是说，当用户要运行程序A时，被attack者修改过的内核会伪装执行A程序，而实际上却执行了程序B。内核级rootkit主要依附在内核上，它并不对系统文件作任何修改，所以通常的监测工具很难检测到它的存在，这样一旦系统内核被植入rootkit，accuse者就能够对系统随心所欲而不被发现。目前对于内核级的rootkit尚未很好的防护工具，所以，作好系统安全防范就很是重要，将系统维持在最小权限内工做，只要accuse者不能获取root权限，就没法在内核中植入rootkit。

---

（二）rootkit后门检测工具chkrootkit
(2.1)chkrootkit是一个Linux系统下查找并检测rootkit后门的工具，chkrootkit没有包含在官方的CentOS源中，所以要采起手动编译的方法来安装，不过这种安装方法更加安全，chkrootkit的使用比较简单，直接执行chkrootkit命令便可自动开始检测系统。
(2.2)在vms001主机上首先安装gcc、gcc-c++、make等软件，接着安装Development Tools工具软件，并进入到/usr/local/src/目录中解压缩chkrootkit软件。
# yum install gcc gcc-c++ make -y
# yum groupinstall Development Tools -y
# cd /usr/local/src/---进入到/usr/local/src/目录中
# tar zxvf chkrootkit-0.49.tar.gz---在目录中解压chkrootkit软件包



(2.3)接着咱们进入到chkrootkit-0.49/目录中，并执行make命令安装软件。
# make sense

(2.4)咱们在系统中运行chkrootkit命令，一旦有INFECTED，说明可能被植入了rootkit
# ./chkrootkit | grep INFECTED

(2.5)咱们直接执行chkrootkit可执行文件，从输出能够看出，此系统的经常使用执行命令并无感染rootkit的Trojan Horse，不过对于系统来讲最安全而有效的方法就是备份数据从新安装系统。
# ./chkrootkit


(2.6)chkrootkit在检查rootkit的过程当中使用了部分系统命令，所以，若是服务器被hacker attacks，那么依赖的系统命令可能也已经被attack者替换，此时chkrootkit的监测结果将变得彻底不可信。为了不chkrootkit的这个问题，能够在服务器对外开放前，事先将chkrootkit使用的系统命令进行备份，在须要的时候使用备份的原始系统命令让chkrootkit对rootkit进行检测。

---

（三）rootkit后门检测工具RKHunter
(3.1)RKHunter是一款专业的检测系统是否感染rootkit的工具，它经过执行一系列的脚原本确认服务器是否已经感染rootkit。在官方的资料中，RKHunter主要执行下面一系列的测试：①MD5校验测试，检测任何文件是否改动；②检测rootkit使用的二进制和系统工具文件；③检测特洛伊Trojan Horse程序的特征码；④检测大多经常使用程序的文件异常属性；⑤执行一些系统相关的测试，由于RKHunter可支持多个系统平台；⑥扫描任何混杂模式下的接口和后门程序经常使用的端口；⑦检测如/etc/rc.d/目录下的全部配置文件、日志文件、任何异常的隐藏文件等等，例如在检测/dev/.udev和/etc/.pwd.lock文件时候，系统被警告；⑧对一些使用经常使用端口的应用程序进行版本测试，如：Apache Web Server，Postfix等；⑨检测网络。
(3.2)首先咱们安装RKHunter软件，先将rkhunter软件包解压缩，而后进入到rkhunter-1.4.6/目录中安装rkhunter软件。
# tar zxvf rkhunter-1.4.6.tar.gz---解压缩rkhunter软件包
# cd rkhunter-1.4.6/---进入到rkhunter-1.4.6/目录中
# ./installer.sh --install---安装rkhunter软件


(3.3)接着为基本系统程序创建校对样本，建议系统安装完成后就创建，并能够查看系统生成的校对样本。
# rkhunter --propupd---为基本系统程序创建校对样本
# ls /var/lib/rkhunter/db/rkhunter.dat---查看系统生成的校对样本

(3.4)接着咱们执行检测命令
# rkhunter --check---执行检测命令

第一部分：检测系统命令，主要检测系统的二进制文件，这些文件最容易被rootkit进行accuse；[OK]表示正常，[Warning]表示由异常，[Not found]未找到。

第二部分：检测rootkit，主要检测常见的rootkit程序；[Not found]表示未感染。

第三部分：特殊或附加检测：对rootkit文件或目录检测、对恶意软件检测、对指定内核检测等。

第四部分：检测网络、系统端口、系统启动文件、系统用户和组配置、ssh配置、文件系统等

第五部分：应用程序版本检测
第六部分：总结服务器目前的安全状态

(3.5)在Linux终端使用rkhunter来检测，最大的好处在于每项的检测结果都有不一样的颜色显示，若是是绿色的表示没有问题，若是是红色的，那就要引发关注了。另外，在执行检测的过程当中，在每一个部分检测完成后，须要以Enter键来继续。若是要让程序自动执行，能够执行以下命令：
# rkhunter --check --skip-keypress---若是咱们不想每一个部分都以Enter来继续，想要让程序自动持续执行能够加上--skip-keypress参数
(3.6)若是想让检测程序天天定时运行，那么能够制定计划任务。咱们设定计划任务在天天9:30执行，会执行一次rkhunter命令而且自动执行Enter键，并将结果输出到/home/field/check_rkhunter/chk.txt文件中

—————— 本文至此结束，感谢阅读 ——————