简述LINUX下的ROOTKIT查找[Linux安全]

　　感激修炼中的柳 送达

　　先介绍下这位大我一岁的蝈蝈,他师出凤姐,计从春哥,可谓是90后非主流脑残黑客复兴的但愿所在

　　啃爹啊,我等了四个月的文章九这质量,唉..承诺不鄙视他.. 永久找不到MM疼的可怜的蝈蝈...

　　近来关注了下linux 下的rootkit. linux下的rk分利用层和kernel层. 呃, 简单的看了下rkhunter.利用层的查抄普通 都是些sshd后门.bind shell 和reverse shell. 这类东西都对比好查抄. 首先是要保证被查抄的机械环境能否干 净. rpm -qV 大概md5sum来查抄下netstat ,ps ,lsof 什么的能否有被改正就好. 闲着蛋疼的最后去用busybox 编译个静态tool kit来查抄. 接着可以分下情形查抄了.

　　port: 查抄port是最简单发现问题的, 最后是nmap -p1-65535 localhost 和netstat -anp 比较着看. 发现netstat没有而nmap有得端口就很肯定是有问 题的了. 可以直接telnet or nc进去看看.普通国内风行的ddrk ,shv5 和那些sshd后门城市无所遁形. 他们都要bind 个port 来等候衔接嘛. 假如netstat有问题的最后还是替换回个干净的再持续. 接着可以看看reverse shell.