如何在 Kali Linux 中安装 Rkhunter 工具?
Rkhunter(Rootkit Hunter)非常适合 POSIX 系统,可以帮助发现Rootkit和其他安全漏洞。 Rkhunter 会全面检查文件(隐藏的和可见的)、默认目录、内核模块和被错误处理的权限。
RootKit Hunter是chkrootkit的另一种替代品。这也是一个很好的补充,因为如果您发现 rootkit 使用其中一个,您将需要使用另一个以避免误报。它用于保护 Linux 系统免受病毒侵害。它是一个 Linux 操作系统防病毒和反恶意软件程序。它运行许多测试以查看服务器是否已感染 rootkit,例如查找特定于 rootkit 的文件、可执行二进制文件的错误文件权限以及识别内核模块等。
RootKit Hunter 会扫描隐藏文件、不正确的二进制权限、内核后门中的可疑字符串以及潜在的本地漏洞。它通过将关键文件的SHA-1哈希值与 Internet 数据库中众所周知的哈希值进行比较来实现这一点。 Rootkit 具有高度可攻击性,并对系统造成严重破坏。它使用一系列工具来建立后门和隐藏路径,使攻击者可以随时访问系统并以root身份登录。
RKHunter 特点:
- MD5 校验和测试确定文件是否已被修改。
- 检测签名的木马
- 找到已隐藏的文件。
- 可疑核心模块的 LKM 检测
- 识别已打开系统的监控端口。
- 检测系统的测试
Rootkit 分为两类:
- 文件级
- 内核级
文件级Rootkit
通常,在通过应用程序或系统漏洞渗透到系统后,系统的关键文件会更新以伪装自己。系统被rootkit感染后,普通文件被木马程序替代,转变成shell程序,隐藏的后门程序就在其中。
内核级 Rootkit
这种类型的渗透比文件级rootkit更复杂。它可以让攻击者完全控制系统的底层。攻击者现在可以更改系统内核以拦截执行软件发送到内核的命令。然后将其指向入侵者选择的软件,您应该启动该软件。
安装
步骤 1:在 Linux 中,安装 Rootkit Hunter Scanner Tool。如果您使用的是 Kali Linux,请使用此终端命令进行安装。
sudo apt-get install rkhunter -y
第 2 步:然后更新此工具。
rkhunter –update
用法
您可以使用以下命令查看您的计算机是否感染了 rootkit:
rkhunter –check
如您所见, RkHunter与 chkrootkit 一样,首先分析系统二进制文件以及库和字符串:
如您所见,与 chkrootkit 不同, RkHunter会要求您按ENTER以进入下一阶段。 RootKit Hunter之前会搜索系统二进制文件和库,现在它会检查已知的 Rootkit:
要允许RkHunter继续搜索 rootkit,请按 ENTER:
然后,类似于 chkrootkit,它将扫描您的网络接口以及已知被后门和木马程序使用的端口:
最后,将打印结果摘要。
默认情况下, Rkhunter在系统上运行各种众所周知的检查。但是,您也可以使用“–scan-knownbad-files”来发现未知错误:
rkhunter -c -scan-knownbad-Files
Rootkit漏洞数据库系统用于识别Rkhunter ;数据库经常更新,因此保持数据库最新至关重要。
记录在/var/log/rkhunter.log中的结果总是可以访问的: