一:chkrootkit
是一个用于检测Linux系统下可能被攻击者植入的后门程序或恶意代码的扫描工具。
(1)安装方法(ubuntu)
sudo apt update
sudo apt install chkrootkit
(2)使用方法:
chkrootkit -q
-b:将日志写入缓冲区以防止被覆盖。
-q:快速模式,仅检查 /dev, /etc, 和一些可执行文件。
(3)升级方法:
sudo apt update && sudo apt install -y chkrootkit
二:ClamAV
是一款开放源代码的跨平台反病毒软件代理和守护进程,它能够扫描多种文件格式,并支持通过网络更新其病毒定义库(病毒数据库),专为 Linux 和 Unix 系统设计,它不仅可用于检测电子邮件和 Web 服务器上传输中的恶意代码文件,还可以用于扫描本地文件系统以查找潜在的恶意代码。下面是如何在Linux系统中安装和使用 ClamAV 的基本步骤:
(1)安装ClamAV
sudo apt update
sudo apt install clamav
(2)下载病毒数据库
freshclam
(3)扫描本地目录
clamscan -r /
(4)查看扫描日志
sudo tail -n 50 /var/log/clamav/freshclam.log
使用过程中需要注意几点:
由于ClamAV的主要功能是检测而不是修复文件,如果遇到感染问题,通常需要手动删除或隔离这些文件。
调试可能的问题,请确保检查网络是否已连接。有时数据库更新失败可能是因为空间不足或者防火墙阻止了必要的端口。
三:Rkhunter(Rootkit Hunter)
是一个开源的工具,用于检测 Unix 和 Linux 系统中的恶意软件和 rootkits。它通过检查文件属性、系统调用、已知的恶意程序签名等方式来识别潜在的安全威胁。
(1)安装方法
apt update
apt install rkhunter
(2)更新病毒库
vim /etc/rkhunter.conf
修改如下:
UPDATE_MIRROR=1改为UPDATE_MIRROR=0
MIRROR_MODE=1改为MIRROR_MODE=0
WEB_CMD="wget"改为WEB_CMD="/bin/false"
保存退出,然后执行下面两句升级病毒库:
sudo rkhunter --update
sudo rkhunter --propupd
(3)使用方法
rkhunter -c
