一、rootkit威胁与检测必要性
rootkit作为高级持久性威胁(APT)的常用工具,能够隐藏进程、文件、网络连接等系统对象。根据SANS研究所2023年报告,约34%的Linux服务器入侵事件涉及rootkit攻击。传统安全工具往往难以检测这类深度隐藏的后门,因此需要专用工具进行排查。
二、chkrootkit工具概述
chkrootkit是Linux平台最经典的rootkit检测工具之一,采用C语言编写,具有以下核心能力:
-
检测60+种已知rootkit(包括lk、sniffer、wted等)
-
检查系统二进制文件是否被篡改(如ls、ps、netstat)
-
识别异常隐藏目录和可疑内核模块
-
支持自动化定时扫描
三、安装部署步骤(以Ubuntu/Debian为例)
1. 安装依赖环境
说明:
操作系统:CentOS
一、安装编译工具包
yum install gcc gcc-c++ make
yum install glibc-static
二、安装chkrootkit
cd /usr/local/src/
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz #下载软件包
tar zxvf chkrootkit.tar.gz #解压
cd chkrootkit-0.52
make sense #安装
mv /usr/local/src/chkrootkit-0.52 /usr/local/chkrootkit #拷贝到安装目录
三、使用chkrootkit
/usr/local/chkrootkit/chkrootkit
cd /usr/local/chkrootkit
./chkrootkit | grep INFECTED
出现INFECTED就说明系统可能有问题了
./chkrootkit | grep INFECTED
备注:CentOS 7.x 可能会出现下面的提示,原因是系统默认缺少netstat命令
chkrootkit: can’t find `netstat’.
yum whatprovides *netstat #查看命令所在的安装包
yum install net-snmp-utils net-tools #安装netstat命令即可
以上就是Linux下rootkit后门检测工具chkrootkit安装使用的详细内容
