Chkrootkit安装使用教程-Linux后门入侵检测工具

Chkrootkit是一种Linux后门入侵检测工具，可以用来检测rootkit后门的工具，rootkit常被入侵者用来入侵控制别人的电脑，危险性很强。而，Chkrootkit工具可以很好的检测到rootkit程序，本文主要为大家介绍Chkrootkit安装使用教程。

安装Chkrootkit需要我们手动编译的方法来安装，同时需要在在系统中安装好gcc编译包。具体操作如下：

一、Chkrootkit安装教程

1、准备gcc编译环境

对于CentOS系统，执行下述三条命令：

yum -y install gcc

yum -y install gcc-c++

yum -y install make

对于Debian系统，执行下述两条命令：

apt-get -y install gcc

apt-get -y install make

2、下载Chkrootkit源码（为安全建议大家在官网下载）

[root@www ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

3、解压安装包

[root@www ~]# tar zxf chkrootkit.tar.gz

4、编译安装（注意将*替换成具体字符）

[root@www ~]# cd chkrootkit-*

[root@www ~]# make sense

5、把编译好的文件部署到/usr/local/目录中，并删除遗留的文件

[root@www ~]# cd ..

[root@www ~]# cp -r chkrootkit-* /usr/local/chkrootkit

[root@www ~]# rm -r chkrootkit-*

6、到此，Chkrootkit安装成功。

二、Chkrootkit使用教程

1、将安装成功的Chkrootkit位于/usr/local/chkrootkit/chkrootkit

执行命令：

root@vm:~# /usr/local/chkrootkit/chkrootkit

2、即可查看，Rootkit检测结果。

安全提示：由于Chkrootkit的检查过程使用了部分系统命令。因此，如果服务器被入侵，则依赖的系统命令可能也已经被入侵者做了手脚，Chkrootkit的结果将变得完全不可信，甚至连系统ls等查看文件的基础命令也变得不可信。

为了避免Chkrootkit的这个问题，可以在服务器对外开放前，事先将Chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始系统命令让Chkrootkit对rootkit进行检测。这个过程可以通过下面的操作实现：

[root@server ~]# mkdir /usr/share/.commands

[root@server ~]# cp `which –skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname` /usr/share/.commands

[root@server ~]# /usr/local/chkrootkit/chkrootkit -p /usr/share/.commands/

[root@server share]# cd /usr/share/

[root@server share]# tar zcvf commands.tar.gz .commands

[root@server share]# rm -rf commands.tar.gz

上面这段操作是在/usr/share/下建立了一个.commands隐藏文件，然后将Chkrootkit使用的系统命令进行备份到这个目录下。为了安全起见，可以将.commands目录压缩打包，然后下载到一个安全的地方进行备份，以后如果服务器遭受入侵，就可以将这个备份上传到服务器任意路径下，然后通过Chkrootkit命令的“-p”参数指定这个路径进行检测即可。