应急响应-Linux入侵排查（工具篇）

2.1 Rootkit查杀

网址：

使用方法：

wget ftp://.br/pub/seg/pac/chkrootkit.tar.gz

tar zxvf chkrootkit.tar.gz

cd chkrootkit-0.52

make sense

#编译完成没有报错的话执行检查

./chkrootkit

rkhunter

网址：

使用方法：

Wget https://nchc./project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz

tar -zxvf rkhunter-1.4.4.tar.gz

cd rkhunter-1.4.4

./installer.sh --install

rkhunter -c

2.2 病毒查杀

ClamAV的官方下载地址为：/download.html

安装方式一：

1、安装zlib：

wget http://nchc./project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

tar -zxvf zlib-1.2.7.tar.gz

cd zlib-1.2.7

#安装一下gcc编译环境： yum install gcc

CFLAGS=“-O3 -fPIC” ./configure --prefix= /usr/local/zlib/

make && make install

2、添加用户组clamav和组成员clamav：

groupadd clamav

useradd -g clamav -s /bin/false -c “Clam AntiVirus” clamav

3、安装Clamav

tar –zxvf clamav-0.97.6.tar.gz

cd clamav-0.97.6

./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib

make

make install

4、配置Clamav

mkdir /opt/clamav/logs

mkdir /opt/clamav/updata

touch /opt/clamav/logs/freshclam.log

touch /opt/clamav/logs/clamd.log

cd /opt/clamav/logs

chown clamav:clamav clamd.log

chown clamav:clamav freshclam.log

5、ClamAV 使用：

/opt/clamav/bin/freshclam 升级病毒库

./clamscan –h 查看相应的帮助信息

./clamscan -r /home 扫描所有用户的主目录就使用

./clamscan -r --bell -i /bin 扫描bin目录并且显示有问题的文件的扫描结果

安装方式二：

#安装

yum install -y clamav

#更新病毒库

freshclam

#扫描方法

clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log

clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log

clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log

#扫描并杀毒

clamscan -r --remove /usr/bin/bsd-port

clamscan -r --remove /usr/bin/

clamscan -r --remove /usr/local/zabbix/sbin

#查看日志发现

cat /root/usrclamav.log |grep FOUND

2.3 webshell查杀

linux版：

河马webshell查杀：

深信服Webshell网站后门检测工具：/backdoor_detection.html

2.4 RPM check检查

系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包，查看哪些命令是否被替换了：

./rpm -Va > rpm.log

如果一切均校验正常将不会产生任何输出，如果有不一致的地方，就会显示出来，输出格式是8位长字符串，每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ，如果是. (点) 则表示测试通过。

验证内容中的8个信息的具体内容如下：

S 文件大小是否改变

M 文件的类型或文件的权限（rwx）是否被改变

5 文件MD5校验是否改变（可以看成文件内容是否改变）

D 设备中，从代码是否改变

L 文件路径是否改变

U 文件的属主（所有者）是否改变

G 文件的属组是否改变

T 文件的修改时间是否改变

如果命令被替换了，如果还原回来：

文件提取还原案例：

rpm -qf /bin/ls 查询ls命令属于哪个软件包

mv /bin/ls /tmp 先把ls转移到tmp目录下，造成ls命令丢失的假象

rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取rpm包中ls命令到当前目录的/bin/ls下

cp /root/bin/ls /bin/ 把ls命令复制到/bin/目录 修复文件丢失

2.5 linux安全检查脚本

Github项目地址：

/grayddq/GScan

/ppabc/security_check

/T0xst/linux

尽信书不如无书，工具只是辅助，别太过于依赖，关键在于你如何解决问题的思路。