【.com快译】即使你使用Tripwire,你也应该意识到恶意攻击者仍然可以在你不知情的情况下在你的系统上植入恶意软件。在本文中,您将学习如何安装和运行三种不同的反恶意软件应用程序:chkrootkit、rkhunter和ClamAV,它们可以帮助您的系统远离恶意软件。在尝试修复恶意软件感染之前,请切换到单用户模式以确保恶意攻击者无法检测到您的活动或掩盖他们的踪迹。1.chkrootkit我已经使用chkrootkit很多年了。简而言之,它会扫描您系统上的重要文件以查找Rootkit。Rootkit是一组恶意程序,旨在破坏root用户帐户并在较长时间内获得对系统的访问权限。Rootkit很难检测到,也很难从系统中删除。我听很多系统管理员这样说:如果系统是rootkit的受害者,请重新映像系统(格式化并从存储介质重新安装),然后从干净的备份中恢复所有数据。是的,这是一个解决方案,但是您是否曾经对系统进行重新映像以使系统恢复到感染前的状态?反正我从来没有。新系统总是缺少一些东西,而这些总是“关键”的东西。我花了无数时间寻找旧软件,搜索旧文档,并寻找存储介质来重新安装一些不再受支持并且可能不再具有合法许可证的基本软件。话题跑题了。您可以使用chkrootkit扫描多种类型的rootkit并检测某些日志删除。虽然它不能删除任何受感染的文件,但它会准确告诉您哪些文件被感染,以便您可以删除/重新安装/修复文件或包。按照下面的简单过程使用chkrootkit下载、安装和扫描您的系统。使用sudo或su成为root用户。#yumupdate#yuminstallwgetgcc-c++glibc-static#wget-cftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz#tar–zxvfchkrootkit.tar.gz#mkdir/usr/local/chkrootkit#mvchkrootkit-0.xx/*/usr/local/chkrootkit#cd/usr/local/chkrootkit#makesense<>#/usr/local/chkrootkit/chkrootkitROOTDIRis`/'Checking`amd'...notfoundChecking`basename'...notinfectedChecking`biff'...notinfectedChecking`chfn'...notinfectedChecking`chsh'...notinfectedChecking`cron'...notinfectedChecking`crontab'...notinfectedChecking`date'...notinfectedChecking`du'...notinfectedChecking`dirname'...notinfectedChecking`echo'...notinfected<>chkrootkit脚本报告受感染的文件。我从来没有误报,但你的可能不同。我在我管理的每个Linux系统上都安装了chkrootkit。我还设置了一个cron作业来执行上述所有步骤(安装依赖项除外),以便我始终拥有更新的集合。我还将输出重定向到用户帐户主目录中的一个文件。可以选择在脚本末尾通过电子邮件将文本报告发送给您。chkrootkit脚本只需要几秒钟扫描和报告,所以使用它不是浪费时间和精力。2.rkhunterRootKitHunter(rkhunter)是一个rootkit检测脚本,可以自动扫描多种不同的rootkit和其他本地漏洞。我喜欢rkhunter并且已经使用了很多年。与chkrootkit不同,rkhunter在/var/log/rkhunter/rkhunter.log中提供了其发现的完整日志。如果你只安装并运行了一个恶意软件扫描应用程序,它应该是rkhunter。以下是在您的系统上安装和运行rkhunter的方法。使用sudo或su成为root用户。#yum-yinstallepel-release#yum-yinstallrkhunter#rkhunter-c[RootkitHunterversion1.4.6]正在检查系统命令...正在执行'strings'命令检查正在检查'strings'命令[OK]正在执行'sharedlibraries'checksCheckingforpreloadingvariables[Nonefound]Checkingforpreloadedlibraries[Nonefound]CheckingLD_LIBRARY_found[NotPATHvariable]]<<大量输出>>系统检查摘要====================Filepropertieschecks...RequiredcommandscheckfailedFileschecked:129Suspectfiles:4Rootkitchecks...Rootkitschecked:494Possiblerootkits:0Applicationschecks...AllchecksskippedThesystemchecksstook:1分38秒所有结果已写入日志文件:/var/log/rkhunter/rkhunter.log检查系统时发现一个或多个警告。请检查日志文件(/var/log/rkhunter/rkhunter.log)rkhunter有时会标记您手动更改的文件。我的四个“可疑”文件中有两个是passwd和group,我手动更改了这两个文件。它还会标记您通过touch、vi或其他更改原始访问或修改日期的程序有意或无意修改的文件。ifup和ifdown是我系统上被标记为可疑的另外两个文件。我还没有弄清楚为什么,但我认为这两个都不是问题。即使您认为自己了解情况,也请检查所有带标记的文档。3.ClamAVClamAV官网页面介绍:ClamAV是一个开源(GPL)杀毒引擎,可用于各种场景,包括电子邮件扫描、网页扫描和端点安全。它提供了许多实用程序,包括灵活且可扩展的多线程守护程序、命令行扫描程序以及用于自动更新数据库的高级工具。要安装ClamAV,成为root或sudo用户,请使用以下命令:#yum-yinstallclamav#freshclamClamAVupdateprocessstartedatFriApr317:21:482020dailydatabaseavailablefordownload(remoteversion:25772)Time:27.3s,ETA:0.0s[==============================>]57.90MiB/57.90MiBTestingdatabase:'/var/lib/clamav/tmp.63140/clamav-5feeeb4cb75d1c44dd7c48b836fe457c.tmp-daily.cvd'...<
