1. rootkit检查

Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。
可以使用chkrootkit来检查
官网http://www.chkrootkit.org

下载安装:

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.50
make sense
./chkrootkit

2.黑客入侵后会植入一些木马程序,会替换部分系统命令

使用Rootkit Hunter 检查

wget http://cznic.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
tar zxvf rkhunter-1.4.2.tar.gz 
cd rkhunter-1.4.2 
./installer.sh --install 
rkhunter -c

3.RPM check 检查

系统完整性也可以通过rpm自带的-Va来校验检查所有的rpm软件包,有哪些被篡改了,防止rpm也被替换,上传一个安全干净稳定版本rpm二进制到服务器上进行检查:

rpm -Va > rpm.log

如果一切均校验正常将不会产生任何输出。如果有不一致的地方,就会显示出来。输出格式是8位长字符串, c 用以指配置文件, 接着是文件名. 8位字符的每一个 用以表示文件与RPM数据库中一种属性的比较结果 。. (点) 表示测试通过。.下面的字符表示对RPM软件包进行的某种测试失败:

显示字符错误源

5 MD5 校验码
S 文件尺寸
L 符号连接
T 文件修改日期 
D 设备 
U 用户 
G 用户组 
M 模式e (包括权限和文件类型)