科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网服务器频道使用chkrootkit工具检查linux是否被攻入

使用chkrootkit工具检查linux是否被攻入

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这里可以使用chkrootkit的工具检查,这是一个开放源代码的安全检测工具  他的官方网站是www.chkrootkit.org 。而acasd占用的端口正好是2001,和名为Scalper Worm的蠕虫占用的端口相同所以可能会被误报为病毒。
  • 评论
  • 分享微博
  • 分享邮件

  问题

  使用chkrootkit工具检查linux是否被攻入

  解决方案

  在检查linux是否被攻击的时候,可以通过如下几个简单方法:

  1) ps awuxf 查看进程

  2) rpm -V SysinitV检查关键系统包

  但是,如果ps和rpm命令本身都被替换掉了,则无法检查出问题。

  这里可以使用chkrootkit的工具检查,这是一个开放源代码的安全检测工具

  他的官方网站是www.chkrootkit.org 。

  首先下载chkrootkit工具(这里提供的是for redhat as4 linux 的版本)

  wget http://www.swsoft.com.cn/downloads/Prima/Tools/chkrootkit-0.47-2.i386.rpm

  安装这个rpm包

  rpm -ivh chkrootkit-0.47-2.i386.rpm

  运行

  chkrootkit

  查看输出的结果:

  root@3.5.5Biz-46 ~]# chkrootkit

  ROOTDIR is `/'

  Checking `amd'... not found

  Checking `basename'... not infected

  Checking `biff'... not found

  Checking `chfn'... not infected

  Checking `chsh'... not infected

  Checking `cron'... not infected

  Checking `crontab'... not infected

  Checking `date'... not infected

  Checking `du'... not infected

  Checking `dirname'... not infected

  Checking `echo'... not infected

  Checking `egrep'... not infected

  Checking `env'... not infected

  Checking `find'... not infected

  Checking `fingerd'... not found

  Checking `gpm'... not infected

  Checking `grep'... not infected

  其中not infected就表示没有被感染。

  注意,在prima for linux的服务器上,可能会出现误报:

  Checking `scalper'... Warning: Possible Scalper Worm installed

  这是因为,prima for linux的功能服务器安装了acasd后台服务

  而acasd占用的端口正好是2001,和名为Scalper Worm的蠕虫占用的端口相同

  所以可能会被误报为病毒。

  关于Scalper Worm的信息,可查看Symantec的官方报告:

  http://www.symantec.com/security_response/writeup.jsp?docid=2002-062814-5031-99

  Symantec的官方报告中提到:

  * Distribution Level: Low

  * Ports: 2001

  * Target of Infection: unpatched Apache Webservers on the FreeBSD operating system

  就是其中的port 2001引起误报。

  在chkrootkit中的chkrootkit的源代码中,也可以找到如下代码:

  scalper (){

  SCALPER_FILES="${ROOTDIR}tmp/.uua ${ROOTDIR}tmp/.a"

  SCALPER_PORT=2001

  OPT=-an

  STATUS=0

  if ${netstat} "${OPT}" | ${egrep} "0.0:${SCALPER_PORT} "> /dev/null 2>&1; then

  STATUS=1

  fi

  for i in ${SCALPER_FILES}; do

  if [ -f ${i} ]; then

  STATUS=1

  fi

  done

  if [ ${STATUS} -eq 1 ] ;then

  echo "Warning: Possible Scalper Worm installed"

  else

  if [ "${QUIET}" != "t" ]; then echo "not infected"; fi

  return ${NOT_INFECTED}

  fi

  }

  也可以确认对于acasd的检测报告是误报

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章