1、安裝chkrootkit
# apt-get update # apt install chkrootkit # chkrootkit -V chkrootkit version 0.52
#腳本定時任務 出現命令修改時自動發送郵件
#!/bin/bash
#-------------------------------------------------------------------------
#application: 檢查linux是否被cc的工具,監控命令是否被替換
#Filename: chkrootkit_everyday.sh
#Revision: 0.1
#Date: 2018/12/03
#Author: hanye
#Email: [email protected]
#Website: hz7726.com
#Description:Check whether the site is rootkit infection
#Notes:
#crontab: */5 * * * * chkrootkit_everyday.sh
#------------------------------------------------------------------------
#Copyright:201 (c) www.1fangxin.cn
#License:GPL
TIME="`date +%Y%m%d%H%M`"
/usr/sbin/chkrootkit -n > /data/sh/.chkrootkitLog/.chkrootkit_$TIME.log
if [ "`grep 'INFECTED' /data/sh/.chkrootkitLog/.chkrootkit_$TIME.log`" != "" ];then
echo "Dangerous"
EMAIL='/data/soft/sendEmail-v1.56/sendEmail'
FEMAIL="[email protected]" #發件郵箱
MAILP="PASSWD"
MAILSMTP="smtp.163.com" #發件郵箱的SMTP
MAILT="[email protected],.......,...." #收件郵箱
MAILmessage=" server command change ERROR"
$EMAIL -q -f $FEMAIL -t $MAILT -u "您服務器有人登錄修改命令,請使用chkrootkit來檢測" -m "$MAILmessage" -s $MAILSMTP -o message-charset=utf-8 -xu $FEMAIL -xp $MAILP -o tls=no
else
echo "OK"
fi
2、使用chkrootkit
安裝完的chkrootkit程序位於/usr/local/chkrootkit目錄下,執行如下命令即可顯示chkrootkit的詳細用法:
root@fangxin-test# chkrootkit -h
chkrootkit各個參數的含義如下所示。
參數含義
-h顯示幫助信息
-v顯示版本信息
-l顯示測試內容
-ddebug模式,顯示檢測過程的相關指令程序
-q安靜模式,只顯示有問題的內容
-x高級模式,顯示所有檢測結果
-r dir設置指定的目錄爲根目錄
-p dir1:dir2:dirN指定chkrootkit檢測時使用系統命令的目錄
-n跳過NFS連接的目錄
3、使用rkhunter指令
rkhunter命令的參數較多,但是使用非常簡單,直接運行rkhunter即可顯示此命令的用法。下面簡單介紹下rkhunter常用的幾個參數選項。
3.1、安裝
下載:https://sourceforge.net/projects/rkhunter/files/latest/download tar xf rkhunter-1.4.6.tar.gz cd rkhunter-1.4.6/ ./installer.sh --layout default --install |
-c, --check必選參數,表示檢測當前系統
--configfile <file>使用特定的配置文件
--cronjob作爲cron任務定期運行
--sk, --skip-keypress自動完成所有檢測,跳過鍵盤輸入
--summary顯示檢測結果的統計信息
--update檢測更新內容
-V, --version顯示版本信息
--versioncheck檢測最新版本
在Linux終端使用rkhunter來檢測,最大的好處在於每項的檢測結果都有不同的顏色顯示,如果是綠色的表示沒有問題,如果是紅色的,那就要引起關注了。另外,在上面執行檢測的過程中,在每個部分檢測完成後,需要以Enter鍵來繼續。如果要讓程序自動運行,可以執行如下命令:
root@fangxin-test:/data/soft#/usr/local/bin/rkhunter --check --skip-keypress
同時,如果想讓檢測程序每天定時運行,那麼可以在/etc/crontab中加入如下內容:
* 5 * * * root /usr/local/bin/rkhunter --check --cronjob
這樣,rkhunter檢測程序就會在每個小時運行一次。