标签归档:rkhunter

rkhunter与chkrootkit的安装测试(rootkit kbeast环境)

chkrootkit

1、准备gcc编译环境
对于CentOS系统,执行下述三条命令:
yum -y install gcc gcc-c++ make glibc*
2、下载chkrootkit源码
chkrootkit的官方网站为 http://www.chkrootkit.org ,下述下载地址为官方地址。为了安全起见,务必在官方下载此程序:
[root@www ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
3、解压下载回来的安装包
[root@www ~]# tar zxf chkrootkit.tar.gz
4、编译安装(后文命令中出现的“*”无需替换成具体字符,原样复制执行即可)
[root@www ~]# cd chkrootkit-*
[root@www ~]# make sense
注意,上面的编译命令为make sense。
5、把编译好的文件部署到/usr/local/目录中,并删除遗留的文件
[root@www ~]# cd ..
[root@www ~]# cp -r chkrootkit-* /usr/local/chkrootkit
[root@www ~]# rm -r chkrootkit-*
至此,安装完毕。
使用方法
安装好的chkrootkit程序位于 /usr/local/chkrootkit/chkrootkit
直接执行
root@vm:~# /usr/local/chkrootkit/chkrootkit
在安装了kbeast的系统上测试,发现检测不到,效果不如rkhunter好。

rkhunter

http://sourceforge.net/projects/rkhunter/files/
1)安装
tar -xvf rkhunter-1.4.0.tar.gz
cd rkhunter-1.4.0
./installer.sh –install
在安装了kbeast的系统上测试,可以成功检测到。
/usr/local/bin/rkhunter –check -sk
[19:50:27] Rootkit checks…
[19:50:27] Rootkits checked : 389
[19:50:27] Possible rootkits: 1
[19:50:27] Rootkit names : KBeast Rootkit
2)在线升级rkhunter
rkhunter是通过一个含有rootkit名字的数据库来检测系统的rootkits漏洞, 所以经常更新该数据库非常重要, 你可以通过下面命令来更新该数据库:
执行命令:
rkhunter –update
3)检测最新版本
让 rkhunter 保持在最新的版本;
执行命令:
rkhunter –versioncheck