首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

rootkit后门检查工具RKHunter

一、概述 简介 中文名叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查...rootkitLinux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。...rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root  权限登录到系统。            ...检测rootkits使用的二进制和系统工具文件.     3. 检测特洛伊木马程序的特征码.     4. 检测大多常用程序的文件异常属性.     5....4.重新安装一部完整的系统,这包括:     o仅安装需要的套件在服务器上面;     o先进行 简单的防火墙 设定后才进行联机;     o以 APT/YUM 之类的工具进行在线更新;     o执行类似

3.9K10
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    针对Linux Rootkit HCRootkit的分析

    Rootkit Sutersu 其内核模块基于开源的 Rootkit Sutersu修改而来。该 Rootkit 支持内核版本广泛,支持架构多样(x86、x86_64 和 ARM)。...602c435834d796943b1e547316c18a9a64c68f032985e7a5a763339d82598915” author = “Lacework Labs” ref = “https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis...10c7e04d12647107e7abf29ae612c1d0e76a79447e03393fa8a44f8a164b723d” author = “Lacework Labs” ref = “https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis...s_hook_local_ip” $s28 = “nf_hook_pre_routing” condition: uint32(0)==0x464c457f and 10 of them } rule linux_mal_suterusu_rootkit...condition: uint32(0)==0x464c457f and all of them } 参考来源: https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis

    88110

    Linux Rootkit如何避开内核检测的

    Rootkit在登堂入室并得手后,还要记得把门锁上。...和杀毒软件打架一样,Rootkit和反Rootkit也是互搏的对象。无论如何互搏,其战场均在内核态。 很显然,我们要做的就是: 第一时间封堵内核模块的加载。...我们知道,Linux内核的text段是在编译时静态确定的,加载时偶尔有重定向,但依然保持着紧凑的布局,所有的内核函数均在一个范围固定的紧凑内存空间内。...反之,如果我们调用Linux内核现成的接口注册一个回调函数来完成我们的任务,那么这就是一种正规的方式,本文中我将使用一种基于 内核通知链(notifier chain) 的正规技术,来封堵内核模块。...很容易,还记得在文章 “Linux动态为内核添加新的系统调用” 中的方法吗?我们封堵了前门的同时,以新增系统调用的方式留下后门,岂不是很正常的想法? 是的。经理也是这样想的。

    1.3K10

    恶意软件FontOnLake Rootkit正在威胁Linux系统

    此外,为了隐藏自身的存在,FontOnLak总是伴随着一个 rootkit。这些二进制文件通常在Linux系统上使用,并且还可以作为一种持久性机制。...FontOnLake的工具集包括三个组件,它们由合法 Linux 实用程序的木马化版本组成,用于加载内核模式的rootkits和用户模式的后门,所有这些都使用虚拟文件相互通信。...ESET表示发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上有重叠之处,除了能隐藏自身外,还包括隐藏进程、文件、网络连接,同时还能够执行文件操作,提取并执行用户模式的后门...“它们的规模和先进的设计表明作者精通网络安全,这些工具可能会在未来的活动中重复使用,”Hrčka说。...“由于大多数功能旨在隐藏其存在、中继通信和提供后门访问,我们认为这些工具主要为其它恶意攻击提供服务支撑。”

    1.2K40

    分析过程:服务器被黑安装Linux RootKit木马

    & f0rb1dd3分享的Linux RootKit高级技术,加载执行Linux Rootkit木马,如下所示: 2.解密Linux RootKit木马数据过程,如下所示: 3.Linux RootKit...Linux RootKit木马,发现是Reptile木马源代码修改的,如下所示: 7.Reptile是一款开源的Linux RootKit木马程序,Linux RootKit木马功能非常强大,如下所示...: 可以隐藏文件、目录、自身、网络连接、反弹shell木马等,Linux RootKit木马运行之后,如下所示: 该Linux RootKit木马可以通过Volatility内存检测的方法发现木马后门模块...ebpfkit、boopkit、TripleCross等eBPF RootKit项目未来可能也会成为黑客利用的工具,被应用到各种针对Linux平台的恶意软件当中。...,同时可以使用IDA\Ghidra的eBPF逆向分析插件、readelf、llvm-objdump等工具进行相关的逆向分析工作。

    1.6K50

    r77-Rootkit:一款功能强大的Ring 3 Rootkit

    关于r77-Rootkit r77-Rootkit是一款功能强大的无文件Ring 3 Rootkit,并且带有完整的安全工具和持久化机制,可以实现进程、文件和网络连接等操作及任务的隐藏。...r77能够在所有进程中隐藏下列实体: 文件、目录、连接、命名管道、计划任务; 进程; CPU用量; 注册表键&值; 服务; TCP&UDP连接; 该工具兼容32位和64位版本的Windows 7以及Windows...安装工具 r77可以直接使用单独的“Install.exe”进行安装,安装工具会将r77服务在用户登录之前开启,后台进程会向所有当前正在运行以及后续生成的进程中注入命令。...但是,一旦Rootkit运行,计划任务也会通过前缀隐藏。...测试环境 测试控制台可以用来向单独进程注入r77,或接触进程跟Rootkit的绑定关系: 工具下载 r77 Rootkit 1.2.0.zip:【点击阅读原文】(解压密码:bytecode77) 项目地址

    1.5K20

    【权限维持】Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务

    权限维持-Linux-定时任务-Cron后门 利用系统的定时任务功能进行反弹Shell 1、编辑后门反弹 vim /etc/.backshell.sh #!...-监控功能-Strace后门 strace是一个动态跟踪工具,它可以跟踪系统调用的执行。.../etc/upload fi 权限维持-Linux-内核加载LKM-Rootkit后门 传统后门通过TCP连接,容易被发现 现在常用的linux维持权限的方法大多用crontab和开机自启动,...所以我们想有一个非tcp连接、流量不容易被怀疑的后门,并且在大量的shell的场景下,可以管shell,Reptile刚好是种LKM rootkit,因此具有很好的隐藏性和强大的功能。...的检测: linux平台下:chkrootkit、rkhunter、OSSEC、zeppoo等 Windows平台下:BlackLight、RootkitRevealer、Rootkit Hook Analyzer

    7610

    Linux rootkit 深度分析 – 第1部分:动态链接器劫持

    我们将介绍三种不同的 Linux rootkit 技术:动态链接库劫持(LD_PRELOAD)、Linux kernel module(LKM) rootkit 和 eBPF rootkit。...在野的利用动态链接器劫持 rootkit 技术已被许多攻击者使用。虽然有些人从头开始生成逻辑,但也有人使用公开可用的开源工具。...以下是一些示例: Winnti for Linux – 这种来自中国的后门工具由用户模式 rootkit 和主后门组成。用户模式 rootkit 在很大一部分基于开源 Azazel rootkit。...总结 动态链接器劫持方式是一种 Linux rootkit 技术,被不同的威胁参与者在野外使用。...请继续关注本系列的第 2 部分,我们将深入探讨 Linux 内核模块 (LKM) rootkit。​

    14910

    利用eBPF探测Rootkit漏洞

    Tracee是用于Linux的运行时安全和取证的开源项目,它基于eBPF实现,所以在安全监测方面效果更加优化。...在本文中,我们将探索控制eBPF事件的方法,并研究一个使用BPF事件捕获rootkit的案例。...eBPF: 不只是用来跟踪 eBPF是一种Linux内核技术,它允许在不更改内核源代码或添加新模块的前提下,在Linux内核中运行沙盒程序。...目前使用rootkit的复杂攻击往往是针对内核空间,这是因为攻击者试图避免被安全防御方案,以及监控用户空间事件或分析基本系统日志的取证工具检所测到。...Tracee-rules,我们可以看到detect_hooked_sycall事件的新签名: 结论 现代攻击者的目标是包括内核层的操作系统各个层级,此外,由于开源项目(如Diamorphine)的流行,攻击性网络工具变得越来越容易获得

    1.4K10

    AntiSpy:一款功能强大的反病毒&反Rootkit免费工具套件

    AntiSpy是一款免费但功能强大的反病毒与反rootkit工具套件,该工具可以给安全研究人员提供最高级别的权限来帮助我们检测、分析和恢复各种内核修改以及钩子设置。...一款功能强大的手工杀毒辅助工具 AntiSpy是一款完全免费,并且功能强大的手工杀毒辅助工具。它可以枚举系统中隐藏至深的进程、文件、网络连接、内核对象等,并且也可以检测用户态、内核态各种钩子。...在它的帮助下,我们可以轻松删除各种顽固病毒、木马、Rootkit,还我们一片干净舒适的上网环境。...开发环境 开发工具: Visual Studio 2008 用户层: MFC 内核层: WDK7600 第三方库:Codejock toolkit pro 代码结构 AntiSpy_Root_Dir...许可证协议 该工具的开发与发布遵循Mulan PSL v1开源许可证协议。

    2.1K20

    Linux入侵排查时安全工具整理

    Linux入侵排查时安全工具整理 近期有协助网友排查一次Linux云主机中了挖矿病毒的情况: ?...CentOS7下使用开源安全审计工具Lynis 下面介绍近期我所接触过的几款Linux安全工具 1、GScan GScan程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist...(图片可放大查看) 2、rkhunter 1)rkhunter简介 rkhunter也叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,...rootkitLinux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。...rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。

    3.4K42

    调查显示,77%的Rootkit用于间谍目的

    定制化的rootkit 该研究还发现,暗网论坛主要是用户级Rootkit的销售宣传地,这些用户级Rootkit通常用于大规模攻击。...在某些情况下,开发人员会根据买方的需要提供定制的Rootkit。67%的宣传广告显示Rootkit倾向为Windows“量身定制”。...“这表明网络犯罪分子仍在开发伪装恶意活动的工具,并提供绕过安全检查的新技术——新版本的Windows出现,恶意软件开发人员立即为其创建rootkit。...为此,Positive Technologies 建议使用端点恶意软件检测工具和解决方案,例如PT Sandbox,它可以在安装和操作期间识别恶意软件。...Rootkit 扫描程序、系统完整性检查和异常网络流量分析也将有助于检测Rootkit

    66520
    领券