QQ登录

只需一步,快速开始

微信登录

扫一扫,访问微社区

聚优论坛

查看: 6026|回复: 1

两款针对Linux系统Rootkit和恶意软件的有用检测工具

  [复制链接]
男人 发表于 2017-4-21 10:34:42 | 显示全部楼层 |阅读模式

注册会员,学习更多最新技术!

您需要 登录 才可以下载或查看,没有帐号?点击注册

x

尽管Linux系统可以免受大多数恶意软件的传播感染,但也不是绝对安全的。如果你的数据中心架设有Linux服务器,尤其是网站服务器,则更应该对Rootkit木马和恶意软件严密防范,因为一些数据破坏类Rootkit非常危险,而且攻击者一旦入侵之后就可能会利用网站服务器进行恶意软件传播。如何排除这类风险隐患呢?一种方法就是使用正确的安全检查工具。

我以Ubuntu Server 16.04系统为例,向大家介绍两款针对常规Rootkit和恶意软件的有用检测工具。

针对Rookit的检测工具-chkrootkit

安装


sudo apt-get install chkrootkit

运行程序


sudo chkrootkit

之后,就是等待检测过程慢慢完成

如果检测之后出现一些Rookit迹象,可以尝试分析一样,因为有些可能是误报,如在Ubuntu Server 16.04服务器上,会出现以下误报:

Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd

这是一个与openssh-server package包相关的文件,属于误报,可以忽略。如果出现其它Rookit疑似报告,则要引起重视,认真对照chkrootkit的报告进行分析,查找解决问题,因为chkrootkit工具只提供检测,不提供解决或删除方法。

针对Malware的检测工具-ISPProtect

ISPProtect是一款提供针对Linux网站服务器的恶意软件检测收费工具(每月$7.92),但我们可以使用它的试用版本,安装过程如下:

sudo apt-get install php-clisudo mkdir -p /usr/local/ispprotectsudo chown -R root:root /usr/local/ispprotectsudo chmod -R 750 /usr/local/ispprotectsudo cd /usr/local/ispprotectsudo wget http://www.ispprotect.com/download/ispp_scan.tar.gzsudo tar xzf ispp_scan.tar.gzsudo rm -f ispp_scan.tar.gzsudo ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

运行程序


sudo ispp_scan

之后,程序提示输入扫描key,如果是试用版本请输入TRIAL:

下一步,程序将提示输入目标扫描路径,由于ISPProtect是针对网站的扫描工具,所以你必须输入网站的根目录路径,如/var/www,之后,Enter键执行。根据文件多少和数据大小来看,扫描可能会持续时间较长,最后,会给出一个最终检测报告。

个人推荐可以把该工具设置成每小时自动扫描一次,以sudo nano命令编辑任务列表/etc/cron.d/ispprotect,并复制以下命令进入:

0 * * * * root        /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=EMAIL --non-interactive --scan-key=KEY

以上命令中的EMAIL表示扫描报告发送地址,KEY表示扫描key。–update表示ISPProtect特征库是适时更新的。

如果觉得每小时太过于频繁,你可以在以上命令中进行以下修改:


0 1 * * * – every day at 1 AM
* */2 * * * – every other hour
* */3 * * * – every third hour

扫描最终结果会自动发送到EMAIL中提供的邮箱地址中去。


14924205701057.jpg
回复

使用道具 举报

就燎博才 发表于 2017-8-1 13:23:37 | 显示全部楼层
创意哦!楼主高人啊 谢












专业代发帖子,网络推广,发帖宣传,产品推广,外链代发。
__________论坛发帖价格____________
联系QQ:188662616  微信号:188662616
套餐一 80元500帖
套餐二 100元1000帖
套餐三 200元3000帖
套餐四 300元6000帖
套餐五 500元12000帖
当天发完,提供详细报表,保证数量。
包月:600元每天500帖共15000帖
包月:800元每天1000帖共30000帖
包月:1000元每天2000帖共60000帖
包月:1500元每天3000帖共90000帖
包月:2000元每天5000帖共150000帖
包月:3000元每天10000帖共300000帖
包月:5000元每天30000帖共900000帖
联系QQ:188662616  微信号:188662616
每天发完,提供详细报表。
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 点击注册

本版积分规则

手机版|小黑屋|Archiver| 聚优论坛 ( 鄂ICP备16013399号-1 )

GMT+8, 2019-8-26 10:33 , Processed in 0.067388 second(s), 35 queries , Gzip On.

Powered by 聚优论坛

© 2010-2019

快速回复 返回顶部 返回列表