目录

. Rootkit Hunter Introduce()
. Source Code Frame()
. do_system_check_initialisation()
. do_system_commands_checks()
. do_rootkit_checks()
. do_network_checks()
. do_local_host_checks()
. do_app_checks()

1. Rootkit Hunter Introduce

rkhunter (Rootkit Hunter) is a Unix-based tool that scans for

. rootkits
. backdoors
. possible local exploits

It does this by

. comparing SHA- hashes of important files with known good ones in online databases
. searching for default directories (of rootkits)
. searching for wrong permissions
. searching for hidden files
. searching for suspicious strings in kernel modules
. searching for special tests for Linux and FreeBSD

Relevant Link:

http://en.wikipedia.org/wiki/Rkhunter
http://netsecurity.51cto.com/art/201012/240038.htm
http://linux.vbird.org/linux_security/0420rkhunter.php

2. Source Code Frame

0x1: 源代码结构

rkhunter的源代码是bash代码,对于rkhunter,所有的检测逻辑都在do_system_check()函数中,do_system_check由很多子函数组成,分别从不同方面完成rootkit的检测功能 ,总体来说,rkhunter的代码逻辑流程如下

aaarticlea/png;base64,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" alt="" />

0x2: rkhunter的功能特性

. 基于指纹库思想的rootkit检测
1.1 建立了一个已知rootkit的默认目录名、文件名列表,通过默认文件名、目录名特征这个维度对rootkit进行检测
1.2 通过检查某个文件或目录是否存在来判断对应的rootkit病毒是否存在(FILESCAN)
1.3 在文件系统中搜索rootkit常用的文件名(SUSP_FILES_INFO)
1.4 检测是否有已知的sniffer(嗅探器)的日志文件存在(SNIFFER_FILES)
1.5 检测是否有已知的LKM Rootkit对应的.so文件存在(LKM_BADNAMES)
1.6 检查自从上次运行rkhunter以来,/etc/passwd的内容文件有没有变化
1.7 检查是否存在"逻辑rootkit",即通过减低指定系统配置或软件的安全配置来构建逻辑后门rootkit . 基于可疑字符串的指令劫持检测
2.1 检查某个"二进制系统命令"是否否存在某个字符串,如存在则有危险(STRINGSCAN)
2.2 依次用一些rootkit病毒的文件名或路径做参数调用strings命令,看其是否能正常输出
2.3 检查和动态链接库预加载相关的环境变量
) LD_PRELOAD
) LD_AOUT_PRELOAD
) LD_ELF_PRELOAD
) /etc/ld.so.preload
) LD_LIBRARY_PATH . 基于可疑字符串的Linux启动文件恶意修改、劫持检测
3.1 检查某个"二进制启动文件"是否存在某个字符串,如存在则有危险(STRINGSCAN、RCLOCATIONS)
3.2 在系统启动文件中搜索特定的字符串,如果搜到,则说明有危险(RCLOCAL_STRINGS) . 基于异常文件目录属性特征的rootkit检测
) 检查系统命令程序文件的ACL属性
1.1) 异常-s标志位
1.2) 权限开放过大(任意用户可执行)
1.3) 异常的隐藏标志位
1.4) 可疑文件修改时间
) 检查敏感文件的HASH值是否和标准的一致(需要建立一个标准黄金基准列表),以确定这些系统命令是否被篡改过 . 基于网络异常状态监控的rootkit检查
) 检查指定端口上监听的程序是否在白名单中(正常的程序只会listen在指定的端口上)
) 检查是否有白名单之外的程序在进行流程sniffer . 基于系统账户、组异常权限检查的rootkit监控
) 检查/etc/passwd中是否有白名单之外的"超级用户(uid)",这是一种异常现象
) 检查是否存在无密码账户

3. do_system_check_initialisation()

初始化rootkit常用的默认文件名、目录名特征、rootkit特征

) 已知的rootkit的文件名、目录名特征
不管是什么rootkit,它一定会或多或少地在磁盘目录下留下一些文件和目录,"文件、目录指纹特征库"的目的就是从这个最终结果的角度去检测是否存在rootkit的嫌疑
1.1) W55808A( Variant A)
1.2) AKIT(Adore rootkit)
1.3) AJAKIT(AjaKit Rootkit)
1.4) APAKIT(aPa Kit Rootkit)
1.5) APACHEWORM(Apache Worm)
1.6) ARK(Ambient (ark) Rootkit)
1.7) BALAUR(Balaur Rootkit 2.0 (LRK5 based))
1.8) BEASTKIT(Beastkit Rootkit)
1.9) BEX(beX2 Rootkit)
1.10) BOBKIT(BOBkit Rootkit)
1.11) BOONANA(OSX Boonana-A Trojan (aka Koobface.A))
1.12) CB(cb Rootkit (w00tkit by ZeeN))
1.13) CINIK(CiNIK Worm (Slapper.B variant))
1.14) CXKIT(CX Rootkit)
1.15) DANNYBOYS(Danny-Boy's Abuse Kit)
1.16) DEVIL(Devil Rootkit)
1.17) DICA(Dica-Kit (T0rn variant) Rootkit)
1.18) DREAMS(Dreams Rootkit)
1.19) DUARAWKZ(Duarawkz Rootkit)
1.20) ENYELKM(ENYE LKM v1., v1.)
1.21) FLEA(Flea Linux Rootkit)
1.22) FREEBSD_RK(FreeBSD Rootkit)
1.23) FU(Fu Rootkit)
1.24) FUCKIT(Fuckit Rootkit)
1.25) GASKIT(GasKit Rootkit)
1.26) HEROIN(Heroin LKM)
1.27) HJCKIT(HjC Kit Rootkit)
1.28) IGNOKIT(ignoKit Rootkit)
1.29) ILLOGIC(iLLogiC Rootkit (SunOS Rootkit variant))
1.30) INQTANAA(OSX Inqtana (Variant A))
1.31) INQTANAB(OSX Inqtana (Variant B))
1.32) INQTANAC(OSX Inqtana (Variant C))
1.32) INTOXONIA(IntoXonia-NG Rootkit)
1.33) IRIXRK(Irix Rootkit (for Irix .x))
1.34) JYNX(Jynx Rootkit)
1.35) KBEAST(KBeast (Kernel Beast) Rootkit)
1.36) KITKO(Kitko Rootkit)
1.37) KNARK(Knark Rootkit)
1.38) LINUXV(ld-linuxv.so (LD_PRELOAD shared library rootkit))
1.39) LION(Lion Worm)
1.40) LOCKIT(Lockit Rootkit (aka LJK2))
1.41) MRK(MRK (MiCrobul?) RootKit (based on Devil RootKit, also see Xzibit))
1.42) MOODNT(Mood-NT Rootkit)
1.43) NIO(Ni0 Rootkit)
1.44) OHHARA(Ohhara Rootkit)
1.45) OPTICKIT(Optic Kit (Tux variant) Rootkit)
1.46) OSXRK(OSX Rootkit 0.2. (OSXRK))
1.47) OZ(Oz Rootkit)
1.48) PHALANX(Phalanx Rootkit)
1.49) PHALANX2(Phalanx2 Rootkit)
1.50) PORTACELO(Portacelo Rootkit)
1.51) REDSTORM(R3dstorm Toolkit)
1.52) RHSHARPES(RH-Sharpe's Rootkit)
1.53) RSHA(RSHA's Rootkit)
1.54) SHUTDOWN(Shutdown Rootkit)
1.55) SCALPER(Scalper (FreeBSD.Scalper.Worm) Worm)
1.56) SHV4(SHV4 Rootkit)
1.57) SHV5(SHV5 Rootkit)
1.58) SINROOTKIT(Sin Rootkit)
1.59) SLAPPER(Slapper Worm)
1.60) SNEAKIN(Sneakin Rootkit)
1.61) WANUKDOOR(Solaris Wanuk backdoor)
1.62) WANUKWORM(Solaris Wanuk Worm (ELF_WANUK.A))
1.63) SPANISH(Spanish' Rootkit)
1.64) SUCKIT(Suckit Rootkit)
1.65) NSDAP(SunOS / NSDAP Rootkit)
1.66) SUNOSROOTKIT(SunOS Rootkit)
1.67) SUPERKIT(Superkit Rootkit (Suckit .3b-based))
1.68) TBD(Telnet Backdoor)
1.69) TELEKIT(TeLeKiT Rootkit)
1.70) TOGROOT(OSX Togroot Rootkit)
1.71) TORN(T0rn (and misc) Rootkit)
1.72) TRNKIT(trNkit Rootkit)
1.73) TROJANIT(Trojanit Kit Rootkit)
1.74) TURTLE(Turtle / Turtle2 Rootkit)
1.75) TUXTENDO(Tuxtendo (Tuxkit) Rootkit)
1.76) URK(Universal Rootkit by K2 (URK) Release 0.9.)
1.77) VCKIT(VcKit Rootkit)
1.78) VAMPIRE(Vampire Rootkit)
1.79) VOLC(Volc Rootkit)
1.80) WEAPONX(weaponX 0.1)
1.81) XZIBIT(Xzibit Rootkit)
1.82) XORGSUNOS(X-Org SunOS Rootkit)
1.83) ZARWT(zaRwT.KiT Rootkit)
1.84) ZK(ZK Rootkit)
1.85) LOGIN(Miscellaneous login backdoors)
1.86) SUSPICIOUS(Suspicious directories) ) STRINGSCAN(Evil strings)检查某个二进制系统命令或启动文件总是否存在某个字符串,如存在则有危险
很多rootkit启动后,会将系统默认的指令程序替换为携带恶意后门代码的同名指令程序,从常规的做法来看,我们可以通过建立一个"MD5哈希列表"来对关键目录下的指令程序进行完整性检测(事实上这也是一个最好的方法,但是问题就
是如果考虑到跨版本、跨内核、用户自定义等因素,系统下的指令程序可能会有很多版本,用MD5完整性检测的方法可能会有问题),而rkhunter采用了另一种思考方式,从替换后的行为结果的角度来对这类指令劫持、替换的攻击进行检测
2.1) crond
crond:LOGNAME=root:Illogic Rootkit
(其中crond是二进制命令的文件名,LOGNAME=root是要搜索的字符串,Illogic Rootkit是rootkit病毒的描述)
2.2) hostname
hostname:phalanx:Phalanx Rootkit
2.3) init
init:/dev/proc/fuckit:Fuckit Rootkit
init:FUCK:Suckit Rootkit
init:backdoor:Suckit Rootkit (backdoored init file)
init:/usr/bin/rcpc:Portacelo Rootkit
init:/usr/sbin/login:trNkit Rootkit ulogin
2.4) killall
killall:/dev/ptyxx/.proc:Ambient (ark) Rootkit
2.5) login
login:vt200:Linux Rootkit (LRK4)
login:/usr/bin/xstat:Linux Rootkit (LRK4)
login:/bin/envpc:Linux Rootkit (LRK4)
login:L4m3r0x:Linux Rootkit (LRK4)
login:/lib/libext:SHV4 Rootkit
login:/usr/sbin/login:Flea Linux Rootkit
login:/usr/lib/.tbd:TBD Rootkit
login:sendmail:Ambient (ark) Rootkit
login:cocacola:cb Rootkit
login:joao:Spanish Rootkit
2.6) ls
ls:/dev/ptyxx/.file:Dica-Kit Rootkit
ls:/dev/ptyxx/.file:Ambient (ark) Rootkit
ls:/dev/sgk:Linux Rootkit (LRK4)
ls:/var/lock/subsys/...datafile...:Ohhara Rootkit
ls:/usr/lib/.tbd:TBD Rootkit
2.7) netstat
netstat:/dev/proc/fuckit:Fuckit Rootkit
netstat:/lib/.sso:Dica-Kit Rootkit
netstat:/var/lock/subsys/...datafile...:Ohhara Rootkit
netstat:/dev/caca:MRK Rootkit
netstat:/dev/ttyoa:Sin Rootkit
netstat:/usr/lib/ldlibns.so:Flea Linux Rootkit
netstat:/dev/ptyxx/.addr:Ambient (ark) Rootkit
netstat:syg:Trojaned netstat
2.8) nscd
nscd:sshd_config:Backdoor shell installed (SSH)
2.9) ps
ps:/var/lock/subsys/...datafile...:Ohhara Rootkit or Ni0 Rootkit
ps:/dev/pts/:Universal Rootkit (URK)
ps:tw33dl3:SunOS Rootkit
ps:psniff:SunOS Rootkit
ps:uconf.inv:Universal Rootkit (URK)
ps:lib/ldlibps.so:Flea Linux Rootkit or Universal Rootkit (URK)
pstree:/usr/lib/ldlibpst.so:Flea Linux Rootkit
ps:libproc.so.2.0.:Fuckit Rootkit
ps:/dev/ptyxx/.proc:Ambient (ark) Rootkit
pstree:/dev/ptyxx/.proc:Ambient (ark) Rootkit
2.10) sshd
sshd:/dev/ptyxx:OpenBSD Rootkit
sshd:/.config:SHV4 Rootkit
sshd:+\\$.*\\$\!.*\!\!\\$:Backdoored SSH daemon installed
sshd:backdoor.h:Trojaned SSH daemon
sshd:backdoor_active:Trojaned SSH daemon
sshd:magic_pass_active:Trojaned SSH daemon
sshd:/usr/include/gpm2.h:Trojaned SSH daemon
sshd:/usr/include/openssl:Trojaned SSH daemon
sshd:aion:Trojaned SSH daemon
sshd:pcszPass:Trojaned SSH daemon
sshd:LogPass:Trojaned SSH daemon
sshd:Login_Check:Trojaned SSH daemon
sshd:includes.h:Trojaned SSH daemon
sshd:DecodeString:Trojaned SSH daemon
sshd:EncodeString:Trojaned SSH daemon
2.11) rcfile
rcfile:in.inetd:SHV4 Rootkit
(rcfile表示要在启动文件中去搜索,in.inetd是要搜索的字符串,SHV4 Rootkit是rootkit病毒的描述)
rcfile:+#<HIDE_.*>:Enye LKM
rcfile:bin/xchk:Optic Kit (Tux) Worm
rcfile:bin/xsf:Optic Kit (Tux) Worm
rcfile:/usr/bin/ssh2d:Flea Linux Rootkit or Optic Kit (Tux variant) Rootkit or SunOS Rootkit
rcfile:/usr/sbin/xntps:SHV4 Rootkit
rcfile:ttyload:SHV5 Rootkit
rcfile:/etc/rc.d/init.d/init:cb Rootkit or w00tkit Rootkit
rcfile:usr/bin/xfss:Devil Rootkit
rcfile:/usr/sbin/rpc.netinet:FreeBSD (FBRK) Rootkit
rcfile:/usr/lib/.fx/cons.saver:FreeBSD (FBRK) Rootkit
rcfile:/usr/lib/.fx/xs:FreeBSD (FBRK) Rootkit
rcfile:/ssh2d:Illogic Rootkit or SunOS Rootkit
rcfile:/dev/kmod:Illogic Rootkit or SunOS Rootkit
rcfile:/crth.o:Illogic Rootkit or SunOS Rootkit
rcfile:/crtz.o:Illogic Rootkit or SunOS Rootkit
rcfile:/dev/dos:Illogic Rootkit or SunOS Rootkit
rcfile:/lpq:Illogic Rootkit or SunOS Rootkit
rcfile:/usr/sbin/rescue:Spanish Rootkit
rcfile:/usr/lib/lpstart:SunOS NSDAP Rootkit or Universal Rootkit (URK)
rcfile:/volc:Volc Rootkit
rcfile:sourcemask:Rootkit component
rcfile:/bin/vobiscum:Rootkit component
rcfile:/usr/sbin/in.telnet:Rootkit component
rcfile:/usr/bin/hdparm?-t1?-X53?-p:Xzibit Rootkit
rcfile:/lib/.xsyslog:Flooder (Linux/Bckdr-RKC) component
rcfile:/etc/.xsyslog:Flooder (Linux/Bckdr-RKC) component
rcfile:/lib/.ssyslog:Flooder (Linux/Bckdr-RKC) component
rcfile:/tmp/.sendmail:Flooder (Linux/Bckdr-RKC) component ) FILESCAN
通过检查某个文件或目录是否存在来判断对应的rootkit病毒是否存在
3.1) 文件
file:/dev/sdr0:T0rn Rootkit MD5 hash database
(file表示后面的字段是一个文件,/dev/sdr0就是要搜索的文件,后面的字段是rootkit病毒的描述)
file:/dev/pisu:Rootkit component
file:/dev/xdta:Dica-Kit Rootkit
file:/dev/saux:Trojaned SSH daemon sniffer log
file:/dev/hdx:Linux.RST.B infection
file:/dev/hdx1:Linux.RST.B infection
file:/dev/hdx2:Linux.RST.B infection
file:/dev/ptyy:Rootkit component
file:/dev/ptyu:Rootkit component
file:/dev/ptyv:Rootkit component
file:/dev/hdbb:Rootkit component
file:/tmp/.syshackfile:Trojaned syslog daemon
file:/tmp/.bash_history:Lite5-r Rootkit
file:/usr/info/.clib:Backdoor component
file:/usr/sbin/tcp.log:Sniffer log
file:/usr/bin/take/pid:Trojaned SSH daemon
file:/sbin/create:MzOzD Local backdoor
file:/dev/ttypz:spwn login backdoor
file:/var/log/tcp.log:beX2 Rootkit
file:/usr/include/audit.h:beX2 Rootkit
file:/usr/bin/sourcemask:Rootkit component
file:/usr/bin/ras2xm:Rootkit component
file:/dev/xmx:Dica-Kit Rootkit
file:/usr/sbin/gpm.root:Rootkit component
file:/bin/vobiscum:Rootkit component
file:/bin/psr:Rootkit component
file:/dev/kdx:Rootkit component
file:/dev/dkx:Rootkit component
file:/usr/sbin/sshd3:Rootkit component
file:/usr/sbin/jcd:Rootkit component
file:/etc/rc.d/init.d/jcd:Rootkit component
file:/usr/sbin/atd2:Rootkit component
file:/home/httpd/cgi-bin/linux.cgi:Dica-Kit Rootkit
file:/home/httpd/cgi-bin/psid:Dica-Kit Rootkit
file:/home/httpd/cgi-bin/void.cgi:Dica-Kit Rootkit
file:/etc/rc.d/init.d/system:Rootkit component
file:/etc/rc.d/rc3.d/S93users:Rootkit component
file:/tmp/.ush:Dica-Kit Rootkit
file:/usr/lib/libhidefile.so:HIDEFILE envvar file-hiding library
file:/etc/cron.d/kmod:Illogic Rootkit
file:/usr/lib/dmis/dmisd:Trojaned SSH daemon
file:/lib/secure/libhij.so:Solaris Trojaned SSH daemon
file:/usr/sbin/sshd3:Rootkit component
file:/etc/rc.d/init.d/crontab:Rootkit component
file:/etc/rc.d/init.d/jcd:Rootkit component
file:/usr/sbin/atd2:Rootkit component
file:/etc/rc.d/rc5.d/S93users:Rootkit component
file:/usr/include/mysql/mysql.hh1:Rootkit component
file:/etc/init.d/xfs3:Rootkit component
file:/usr/sbin/t.txt:Opyum kit component
file:/usr/sbin/change:Opyum kit component
file:/usr/sbin/s:Opyum kit component
file:/bin/f:Opyum kit component
file:/bin/i:Opyum kit component
file:/lib/libncom.so.4.0.:ncom rootkit library
file:/sbin/zinit:Rootkit component
file:/tmp/pass_ssh.log:Trojaned SSH daemon
file:/usr/include/gpm2.h:Trojaned SSH daemon
file:/etc/ssh/.sshd_auth:Trojaned SSH daemon (logins)
file:/usr/lib/.sshd.h:Trojaned SSH daemon (logins)
file:/var/run/.defunct:Trojaned SSH daemon
file:/etc/httpd/run/.defunct:Trojaned SSH daemon
file:/usr/share/pci.r:Trojaned Syslog daemon
file:/etc/cron.daily/dnsquery:Sniffer
file:/usr/lib/libutil1.2.1..so:Trojaned SSH daemon component (hwclock binary)
file:/bin/ceva:Trojaned SSH daemon (client binary)
file:/sbin/syslogd%:Trojaned SSH daemon (sebd)
file:/usr/include/shup.h:Trojaned SSH daemon (client binary)
file:/etc/rpm/sshdOLD:Trojaned SSH daemon (original sshd binary)
file:/etc/rpm/sshOLD:Trojaned SSH daemon (original ssh binary)
file:/usr/share/passwd.h:Trojaned SSH daemon (default configuration)
file:/lib/.xsyslog:Flooder (Linux/Bckdr-RKC) component
file:/etc/.xsyslog:Flooder (Linux/Bckdr-RKC) component
file:/lib/.ssyslog:Flooder (Linux/Bckdr-RKC) component
file:/tmp/.sendmail:Flooder (Linux/Bckdr-RKC) component
file:/usr/share/sshd.sync:Trojaned SSH daemon
file:/bin/zcut:Trojaned SSH daemon
file:/usr/bin/zmuie:Trojaned SSH daemon
file:/lib/libkeyutils.so.1.9:Sniffer component
file:/lib64/libkeyutils.so.1.9:Sniffer component
file:/usr/lib/libkeyutils.so.1.9:Spam tool component
file:/usr/lib64/libkeyutils.so.1.9:Spam tool component
3.2) 目录
dir:/dev/ptyas:Langsuir installation directory
(dir表示后面的字段是一个目录,/dev/ptyas就是要搜索的目录)
dir:/usr/bin/take:Trojaned SSH daemon
dir:/usr/src/.lib:Rootkit component
dir:/usr/share/man/man1/.1c:Eggdrop (IRC bot)
dir:/lib/lblip.tk:T0rn Rootkit directory with backdoored SSH-configuration
dir:/usr/sbin/...:Rootkit component
dir:/usr/share/.gun:Rootkit component
dir:/unde/vrei/tu/sa/te/ascunzi/in/server:Unknown rootkit
dir:/usr/man/man1/..%%/.dir:Unknown rootkit
dir:/usr/X11R6/include/X11/...:Unknown rootkit
dir:/usr/X11R6/lib/X11/.fonts/misc/...:Unknown rootkit
dir:/tmp/.sys:Rootkit component
dir:/tmp/':Rootkit component
dir:/tmp/.,:Rootkit component
dir:/tmp/,.,:Rootkit component
dir:/dev/shm/emilien:Rootkit component
dir:/var/tmp/.log:Rootkit component
dir:/tmp/zmeu/...%:Rootkit component
dir:/var/log/ssh:Rootkit component
dir:/dev/ida:Rootkit component
dir:/var/lib/games/.src/ssk/shit:Rootkit component
dir:/usr/lib/libshtift:Rootkit component
dir:/usr/src/.poop:Ramen worm
dir:/dev/wd4:IRC bot
dir:/var/run/.tmp:Rootkit component
dir:/usr/man/man1/lib/.lib:Rootkit component
dir:/dev/portd:Rootkit component
dir:/dev/...:Rootkit component
dir:/usr/share/man/mansps:Rootkit component
dir:/lib/.so:Rootkit component
dir:/lib/.sso:Rootkit component
dir:/usr/include/sslv3:Rootkit component
dir:/dev/shm/sshd:Trojaned SSH daemon
dir:/usr/share/locale/mk/.dev/sk:Sniffer
dir:/usr/share/locale/mk/.dev:Sniffer
dir:/usr/include/netda.h:Trojaned SSH daemon
dir:/usr/include/.ssh:Trojaned SSH daemon
dir:/usr/share/locale/jp/.%:IRC bot
dir:/usr/share/.sqe:IRC bot" ) RCLOCAL_STRINGS
在系统启动文件中搜索特定的字符串,如果搜到,则说明有危险
/usr/bin/rpc.wall:Linux Rootkit (LRK4)
(其中/usr/bin/rpc.wall就是要搜索的字符串,后面的Linux Rootkit (LRK4)是对应的rootkit病毒说明)
sshdd:GasKit Rootkit
hidef:Knark Rootkit
/usr/bin/.etc:Dica-Kit Rootkit ) LKM_BADNAMES
搜索/lib/modules/`uname -r >/dev/null`(这个目录也可由用户在配置文件中指定)目录中是否存在已知的危险模块
adore.o
bkit-adore.o
cleaner.o
flkm.o
knark.o
modhide.o
mod_klgr.o
phide_mod.o
vlogger.o
p2.ko
rpldev.o
xC.o
strings.o
wkmr26.ko

4. do_system_commands_checks

该函数用来检查一些系统二进制命令和系统库文件,确保这些文件没有被篡改。因为后面的各项检查都会用到这些命令和库     

/*
1. strings_check
该函数是用来检查strings命令是否正常。
检查方法:依次用一些rootkit病毒的文件名或路径做参数调用strings命令,看其是否能正常输出
1) 如果能,则说明没问题
2) 如果不能,则说明strings命令可能被该rootkit病毒或木马篡改过,意图隐藏该rootkit病毒或木马
*/
strings_check /*
2. shared_libs_check
该函数用来检查系统的动态链接库加载情况是否正常。 检查方法:
1) 首先检查和预加载相关的三个环境变量:
1.1) LD_PRELOAD
1.2) LD_AOUT_PRELOAD
1.3) LD_ELF_PRELOAD
依次插入这三个环境变量到指定的动态库文件中,查看显示的结果是否在用户设置动态库白名单中,如果不在,则认为有危险
2) 检查/etc/ld.so.preload
检查方法同上
3) 检查LD_LIBRARY_PATH
在两种情况
3.1) export LD_LIBRARY_PATH
3.2) unset LD_LIBRARY_PATH
下分别用ldd命令去测试find、ps、strings、md5sum、ls、stat命令(常常被替换的指令程序),并比较两种情况下的输出结果是否相同(忽略地址),如果不相同,则说明有危险
*/
shared_libs_check /*
3. file_properties_check
该函数用来检查系统命令文件的属性、hash值等,以确定这些系统命令是否被篡改过
*/
file_properties_check

5. do_rootkit_checks

该函数用来检查rootkit病毒和木马

/*
1. rootkit_file_dir_checks
该函数通过检查和已知rootkit病毒相关联的文件或目录或内核符号是否存在来确定该rootkit病毒是否存在(即还是判断对应文件、目录是否存在的思路)
*/
rootkit_file_dir_checks
check_test known_rkts || check_test all && keypresspause /*
2. 该函数用来补充检查rootkit。依次调用如下子函数:
2.1 suckit_extra_checks
该函数用来专门检查suckit病毒,检查方法:
1) 查看/sbin/init文件有几个硬链接,如果硬链接数大于1,则有可能存在suckit病毒。
2) 查看以xrk和mem为后缀的文件是否被隐藏。方法是:
2.1) 分别新建两个以xrk和mem为后缀的临时文件,然后查看其是否存在
2.2) 如果不存在,则说明该文件被隐藏了,可能存在suckit病毒
3) 测试skdet命令是否存在,如果存在,则对该命令进行一些测试,根据其结果判断是否存在suckit病毒 2.2 possible_rootkit_file_dir_checks
该函数用来检查一些特定的rootkit是否存在。检查方法是:
1) 通过检查某个文件或目录是否存在来判断对应的rootkit病毒是否存在。使用的数据(存在变量FILESCAN中)格式例如:
file:/dev/sdr0:T0rn Rootkit MD5 hash database
1.1) file表示后面的字段是一个文件
1.2) /dev/sdr0就是要搜索的文件
1.3) 后面的字段是rootkit病毒的描述
2) dir:/dev/ptyas:Langsuir installation directory
2.1) dir表示后面的字段是一个目录
2.2) /dev/ptyas就是要搜索的目录 3.3 possible_rootkit_string_checks
该函数用来检查某个二进制系统命令或启动文件总是否存在某个字符串,如存在则有危险 ,使用的数据(存在变量STRINGSCAN中)格式例如:
1) crond:LOGNAME=root:Illogic Rootkit
1.1) crond是二进制命令的文件名
1.2) LOGNAME=root是要搜索的字符串
1.3) Illogic Rootkit是rootkit病毒的描述
2) rcfile:in.inetd:SHV4 Rootkit
2.1) rcfile表示要在启动文件中去搜索
2.2) in.inetd是要搜索的字符串
2.3) SHV4 Rootkit是rootkit病毒的描述
3) 默认要搜索的启动文件(定义在变量RCLOCATIONS中)包括如下文件和目录,用户也可通过配置文件自己指定要搜索的启动文件和目录(定义STARTUP_PATHS字段)
3.1) RCLOCATIONS=/etc/rc.d /etc/rc.local
3.2) /usr/local/etc/rc.d
3.3) /usr/local/etc/rc.local
3.4) /etc/conf.d/local.start
3.5) /etc/init.d
3.6) /etc/inittab
上面路径有些是目录,表示该目录下(递归包含子目录)所有的"普通文件"(且不为符号链接)都要进行搜索
*/
additional_rootkit_checks /*
3. malware_checks
该函数用来检查malware病毒
*/
malware_checks /*
4. trojan_checks
该函数用来检查木马。会依次进行以下检查:
1. 检查/etc/inetd.conf文件
2. 检查/etc/xinetd.conf文件
3. 检查apache后门模块。方法是:
1) 查看mod_rootme.so和mod_rootme2.so两个文件是否存在
2) 若存在,查看httpd.conf文件中是否有mod_rootme2.so字符串存在,若存在则说明有问题
*/
trojan_checks /*
5. os_specific_checks
该函数用来检查和操作系统相关的项目,对于linux系统来说,这里调用linux_specific_checks函数进行检查。依次调用如下函数进行检查:
5.1 linux_loaded_modules
该函数用来检查当前加载的内核模块。方法是:
1) 测试lsmod命令的结果和/proc/modules文件中的内容是否一致,如果不一致则说明有危险,存在隐藏LKM的rootkit
5.2 inux_avail_modules
该函数用来检查系统中是否存有已知的危险模块。方法是:
1) 搜索/lib/modules/`uname -r 2>/dev/null`(这个目录也可由用户在配置文件中指定)目录中是否存在已知的危险模块。危险模块的名称存放在LKM_BADNAMES变量中,内容如下:
1.1) LKM_BADNAMES=adore.o
1.2) bkit-adore.o
1.3) cleaner.o
1.4) flkm.o
1.5) knark.o
1.6) modhide.o
1.7) mod_klgr.o
1.8) phide_mod.o
1.9) vlogger.o
1.10) p2.ko
1.11) rpldev.o
1.12) xC.o
1.13) strings.o
1.14) wkmr26.ko
*/
os_specific_checks

6. do_network_checks

该函数用来检查网络相关的内容

/*
1. do_network_port_checks
该函数用来检查网络端口,扫描是否有已知的后门端口被使用,检查原理是:
1.1 在数据库文件backdoorports.dat中存放有多条后门端口的记录,格式如下:
<port>:<description>:protocol
1) port表示端口号,其值在1-65535之间
2) description是后门木马的描述
3) protocol是协议类型,为TCP或者UDP
例如:
1984:Fuckit Rootkit:TCP:
该条记录表示Fuckit Rootkit这个rootkit病毒以TCP协议的方式使用了1984端口 1.2真正的检查工作是在函数check_port_wl中完成的
1) 程序从backdoorports.dat中依次读出每条记录,解析出端口和协议
2) 用lsof命令来搜索以该协议方式使用该端口的进程(lsof -wnlP -i TCP:1984)并拿到其PID
3) 根据这个PID得到进程名称
4) 如果lsof命令没有搜索到以该协议方式使用该端口的进程或该端口在用户设置的白名单中,就说明没有危险,否则有危险(即正常情况下,已知的正常软件只会工作在已知的端口上,而已知的端口也只会跑已知的正常软件,如果
超出这个范围,则说明有可疑情况)
*/
do_network_port_checks /*
2. do_network_hidden_port_checks
该函数用来扫描隐藏端口。扫描时需要使用unhide-tcp命令
*/
do_network_hidden_port_checks /*
3. do_network_interface_checks
该函数用来扫描是否有网络接口处于混杂模式和是否有抓包应用程序。
检查混杂模式的方法:
3.1 查看下面两个命令的输出结果:
1) ifconfig 2>&1 | awk 'BEGIN { RS="" }; /PROMISC/ { print }'
2) ip link | grep '^[0-9]' | grep -vE "^[0-9][0-9]*: (${IFWLIST}):" | grep 'PROMISC'
2.1) 其中IFWLIST变量存放的是白名单网络接口
如果上述两个命令的输出为空,则说明没有处于混杂模式的网络接口,否则存在处于混杂模式的网路接口 3.2 检查抓包程序的方法:
1) 先运行命令egrep -v '^sk|888e' /proc/net/packet | awk '{ print $9 }'得到一个inode列表,将其存放在变量INODE_LIST中。
2) 然后用命令lsof -lMnPw -d 1-20 | egrep "[ ](${INODE\_LIST})[ ]" | awk '{ print $2 }'得到各个inode对应的PID
3) 并利用/proc/$PID/exe或/proc/$PID/status文件得到进程名称。
4) 如果得到的进程名称没有在白名单列表中,则说明该进程就是抓包软件
(将网络连接情况映射到对应的具体程序)
*/
do_network_interface_checks

7. do_local_host_checks

该函数用来扫描本地主机

/*
1. do_system_startup_file_checks
该函数用来检查系统启动文件
1.1检查主机名:
1) 先用hostname命令查看主机名
2) 如果为空则用uname -n命令查看主机名
3) 如果仍为空,说明有问题 1.2 检查系统启动文件:
1) 检查方法是在系统启动文件中搜索特定的字符串,如果搜到,则说明有危险
2) 要搜索的字符串存放在变量RCLOCAL_STRINGS中
*/
do_system_startup_file_checks /*
2. do_group_accounts_check
该函数用来检查系统帐户和组
2.1 先检查/etc/passwd文件是否存在且为非空白文件,如果不存在或为空则告警。
2.2 找出/etc/passwd文件中uid为0(即拥有root权限)的所有帐户的帐户名(用命令grep '^[^:]*:[^:]*:0:' /etc/passwd | cut -d: -f1),如果这些帐户名不在用户设置的白名单中(root默认在白名单中),则说明存在
危险
2.3 检查所有的无密码帐户,分为两步:
1) 首先在shadow文件(/etc/shadow及tcb相关文件)中搜索空密码帐户:grep '^[^:]*::' ${SHADOW\_FILE} | cut -d: -f1
2) 然后在/etc/passwd文件中搜索空密码帐户:grep '^[^:]*::' /etc/passwd | cut -d: -f1
这两步中得到的结果,要忽略帐户名为"+"的帐户(这个和NIS/YP有关)并要进行白名单检查。如果仍然有空密码帐户,则有危险,需要告警
2.4 检查自从上次运行rkhunter以来,/etc/passwd的内容文件有没有变化
rkhunter脚本在运行后会在一个临时目录中保存当前系统的/etc/passwd文件。进行该项检查时,用diff命令来比较上次保存的passwd文件和系统当前的/etc/passwd文件,如果有变化则告警。
2.5 检查自从上次运行rkhunter以来,/etc/gourp的内容文件有没有变化
2.6 检查root帐户的shell的history
1) /root/.bash_history(bash)
2) /root/.sh_history(Korn)
3) /root/.history(C-shell)
4) /root/.zhistory(zsh)
四个文件是否存在,并且是否为符号链接文件,如果是则存在危险
*/
do_group_accounts_check /*
3. do_system_config_files_check
该函数用来检查指定系统软件的配置文件。当前检查的配置文件包括SSH和syslog
3.1 在/etc、/etc/ssh、/usr/local/etc、/usr/local/etc/ssh目录寻找SSH的配置文件sshd_config
3.2 查看sshd是否允许root用户用SSH登陆(sshd_config文件中PermitRootLogin字段)。看其和rkhunter配置文件中用户的设置(ALLOW_SSH_ROOT_USER字段)是否相同,不相同则告警。如果ALLOW_SSH_ROOT_USER字段没
有被设置,则rkhunter默认不允许root用户用SSH登陆。注意:sshd本身默认是允许root用户登陆的
3.3 查看sshd的协议版本是否为1(sshd_config文件中Protocol字段),若为1则告警
3.4 查看syslog守护程序是否在运行
1) 运行命令ps ax | egrep '(syslogd|syslog-ng)( |$)' | grep -v 'egrep'
2) 若结果为空,运行命令ps ax | egrep 'metalog( |$)' | grep -v 'egrep'
3) 若结果为空,运行命令ps ax | egrep 'socklog( |$)' | grep -v 'egrep'
4) 若结果为空,则告警。
5. 检查syslog的配置文件是否允许远程日志
*/
do_system_config_files_check /*
4. do_filesystem_check
该函数用来检查文件系统的可疑文件
*/
do_filesystem_check

8. do_app_checks

该函数用来检查一些特定的应用程序

. 本函数会用到一个数据库文件:programs_bad.dat
在这个文件中存放着多个已知的有BUG的应用程序的名称及其对应的版本号 ,本函数要检查的应用程序名称存放在变量APP_NAMES中,其定义如下:
) APP_NAMES=
) exim:Exim MTA
) gpg:GnuPG
) httpd:Apache
) named:Bind DNS
) openssl:OpenSSL
) php:PHP
) procmail:Procmail MTA
) proftpd:ProFTPD
) sshd:OpenSSH
其中冒号前面是应用程序的名称,冒号后面是描述信息 . 本函数会用到的白名单:在rkhunter的配置文件/etc/rkhunter.conf中
字段APP_WHITELIST存放着用户指定的应用程序白名单
检查步骤:
) 用find命令找出APP_NAMES中包含的应用程序的全路径。
) 用各个应用程序得到其对应的版本号。
) 依次查看各个应用程序是否在白名单中,如果不在,则进行下一步检查。
) 依次在programs_bad.dat中搜索上述各个应用程序及其对应的版本号,如果搜到了,则说明该版本程序有问题,需要向用户告警

结束了do_app_checks之后,rkhunter的主代码逻辑基本结束,接下来就是显示检测结果的时候
Relevant Link:

http://blog.chinaunix.net/uid-26526735-id-3938319.html

Copyright (c) 2014 LittleHann All rights reserved

Rootkit Hunter Sourcecode Learning的更多相关文章

  1. rootkit的检测工具使用(chkrootkit和rootkit hunter)

      信息安全        这两天突然发现我们的服务器产生大量DNS解析连线.为了查明问题,就下载网上找工具检查问题所在.用了两个工具,一个chkrootkit,另外一个rootkit huntur. ...

  2. Rootkit Hunter恶意程序查杀

    恶意程序,恶意代码检测 下载:https://pkgs.org/search/rkhunter 安装:rpm -ivh rkunter* Installed: #需要先安装  lsof.x86_64 ...

  3. Chkrootkit Sourcecode Learning

    目录 . Chkrootkit Introduce . Source Code Frame . chklastlog.c . chkwtmp.c . ifpromisc.c . chkproc.c . ...

  4. TCP Socket Establish;UDP Send Package Process In Kernel Sourcecode Learning

    目录 . 引言 . TCP握手流程 . TCP connect() API原理 . TCP listen() API原理 . UDP交互过程 . UDP send() API原理 . UDP bind ...

  5. rootkit后门检查工具RKHunter

    ---恢复内容开始--- rkhunter简介: 中文名叫"Rootkit猎手", rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检 ...

  6. BlackArch-Tools

    BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 ...

  7. RHEL/CentOS 7最小化安装后需做的30件事情

    导读 CentOS是一个工业标准的Linux发行版,是红帽企业版 Linux 的衍生版本.你安装完后马上就可以使用,但是为了更好地使用你的系统,你需要进行一些升级.安装新的软件包.配置特定服务和应用程 ...

  8. Linux安全事件应急响应排查方法总结

    Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...

  9. 安装完最小化 RHEL/CentOS 7 后需要做的 30 件事情(四)码农网

    17. 安装 Webmin Webmin 是基于 Web 的 Linux 配置工具.它像一个中央系统,用于配置各种系统设置,比如用户.磁盘分配.服务以及 HTTP 服务器.Apache.MySQL 等 ...

随机推荐

  1. McCall的软件质量模型

    McCall等认为,特性是软件质量的反映,软件属性可用做评价准则,定量化地度量软件属性可知软件质量的优劣 McCall认为软件的质量模型应该包括 产品的修正.产品的转移,产品的运行 而产品的修正又包括 ...

  2. java 14-11 对象数组

    有5个学生,请把这个5个学生的信息存储到数组中,并遍历数组,获取得到每一个学生信息. 创建学生类: 学生:Student 成员变量:name,age 构造方法:无参,带参 成员方法:getXxx()/ ...

  3. 博友的 编写高质量代码 改善java程序的151个建议

    编写高质量代码 改善java程序的151个建议 http://www.cnblogs.com/selene/category/876189.html

  4. 转: __asm__ __volatile__内嵌汇编用法简述

    from: http://www.embedu.org/Column/Column28.htm __asm__ __volatile__内嵌汇编用法简述 作者:刘老师,华清远见嵌入式学院高级讲师,AR ...

  5. javascript设置网页刷新或者重新加载后滚动条的位置不变

    有个同事说再javascript中你可以做任何你想做的事情,当时觉得不以为然,今天遇到个问题,就是页面重新加载后总是回到页面的顶部,如果客户只想看到他想看到的部分是怎么变化的,这个体验就好了.原本想象 ...

  6. action中result没有值

    action中result没有值,访问action会输出action中的所有数据,输出类型为.action类型 .

  7. 10SpringMvc_springmvc快速入门小案例(注解版本)

    第一步:新建案例工程:

  8. MVC4 开篇

    开篇,肯定不讲技术. 新项目开工了,用到了MVC4,赶快来园子吐槽下. 刚出来一年,学到了一些东西,但是自知比菜鸟还不如,空闲不看书,不练习demo,快吐我吧... 哈哈,吐吧,哥还是一样淡定,淡定, ...

  9. 语义化的html结构的好处

    HTML是提供网页文档内容的上下文结构和含义:html本身是没有表现的,我们看到例如<h1>是粗体,字体大小2em,加粗:<strong>是加粗的,不要认为这是html的表现, ...

  10. PC网站应用接入微信登录

    参考文档: https://open.weixin.qq.com/cgi-bin/showdocument?action=dir_list&t=resource/res_list&ve ...