Linux後門入侵檢測的實現

rootkit從淺顯的層面來講即一種具有自我隱蔽性的後門程式，它往往被入侵者作為一種入侵工具。通過rootkit，入侵者可以偷偷控制被入侵的電腦，因此危害巨大。chkrootkit是一個Linux系統下的尋找檢測rootkit後門的工具。本文將介紹chkrootkit的安裝與使用方法。

chkrootkit沒有包含在官方的CentOS或Debian源，因此我們將採取手動編譯的方法來安裝，這種方式也更加安全。由於需要編譯原始碼，因此還需要在系統中安裝好gcc編譯包。

[root@linux-01 ~]# yum -y install gcc gcc-c++ make ntp

[root@linux-01 ~]# ntpdate pool.ntp.org

3 Sep 12:03:49 ntpdate[4211]: step time server 59.66.66.243 offset 6192510.670388 sec

[root@linux-01 ~]# date

2013年 09月 03日 星期二 12:03:56 CS

[root@linux-01 ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

[root@linux-01 ~]# tar zxf chkrootkit.tar.gz

[root@linux-01 ~]# cd chkrootkit-*

[root@linux-01 chkrootkit-0.49]# make sense

gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c

gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c

chkwtmp.c: In function ‘main’:

chkwtmp.c:95: 警告：隱式聲明與內建函數 ‘exit’ 不相容

gcc -DHAVE_LASTLOG_H  -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c

gcc -o chkproc chkproc.c

gcc -o chkdirs chkdirs.c

gcc -o check_wtmpx check_wtmpx.c

gcc -static -o strings-static strings.c

gcc -o chkutmp chkutmp.c

[root@linux-01 chkrootkit-0.49]# cd ..

[root@linux-01 ~]# cp -r chkrootkit-* /usr/local/chkrootkit

[root@linux-01 ~]# rm -rf chkrootkit-*

[root@linux-01 ~]# /usr/local/chkrootkit/chkrootkit

作者署名：51cto部落格 IMySQL

查看本欄目更多精彩內容：http://www.bianceng.cnhttp://www.bianceng.cn/OS/Linux/