官网:chkrootkit -- locally checks for signs of a rootkit
locally checks for signs of a rootkit
Chkrootkit is named Top 10 Tools to Scan Linux Servers for Vulnerability and Malware by Cyber Security News.
Debian安装
sudo apt install chkrootkit
# 查看版本
chkrootkit -V
# 运行
sudo chkrootkit
开启每日自动扫描:
编辑chkrootkit.conf,将RUN_DAILY改为true
CentOS安装
由于chkrootkit没有包含在官方的Centos源中,因此要采取手动编译的方法来安装
官网源码
# 1、安装编译环境
yum -y install gcc
yum -y install gcc-c++
yum -y install make
yum -y install glibc*
# 2、下载源码
wget ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
# 3、解压
tar -zxvf chkrootkit.tar.gz
# 4、编译
cd chkrootkit-xxx
make sense
# 5、拷贝到/usr/local
cp -r chkrootkit-xxx /usr/local/chkrootkit
# 6、单次运行,并输出到文件中
./chkrootkit > chk_result.log 2>&1
定时运行扫描,先编辑启动脚本run.sh
CURRENT_DIR=$(cd $(dirname $0); pwd)
FILE_NAME="log-`date +%Y-%m-%dT%H%M%S`.log"
if [ ! -d "$CURRENT_DIR/logs/" ];then
mkdir $CURRENT_DIR/logs
fi
$CURRENT_DIR/chkrootkit > "$CURRENT_DIR/logs/$FILE_NAME" 2>&1
使用crontab定时调度
# 编辑crontab
vim /etc/crontab
# 新增cron表达式,每天0点10分自动扫描
10 0 * * * /usr/local/chkrootkit/run.sh
# 保存配置并立即生效
crontab /etc/crontab