今天繼續檢查我的Linux，所以下來rkhunter和chkrootkit一個一個來，下面只記錄命令，少些說明不截圖了。

1、rkhunter

#cd /temp

#wget http://downloads.sourceforge.net/rkhunter/rkhunter-1.3.4.tar.gz?use_mirror=jaist

#tar -zxvf rkhunter-1.3.4.tar.gz

#cd rkhunter-1.3.4

#./installer.sh -h

#./installer.sh --layout default --install

#cd /usr/local/bin

#rkhunter --update

#rkhunter --propupd

#rkhunter -c --sk --rwo

有問題會紅色的Warning 提示。

rkhunter參數說明 #/usr/local/bin/rkhunter Usage: rkhunter {--check | --update | --versioncheck |                  --propupd [{filename | directory | package name},...] |                  --list [{tests | {lang | languages} | rootkits},...] |                  --version | --help} [options]

Current options are:          --append-log                  在日志文件后追加日志，而不覆蓋原有日志          --bindir <directory>...       Use the specified command directories      -c, --check                       檢測當前系統 --cs2, --color-set2                  Use the second color set for output          --configfile <file>           使用特定的配置文件          --cronjob                     作為cron定期運行                                        (包含參數 -c, --sk , --nocolors )          --dbdir <directory>           Use the specified database directory          --debug                       Debug模式(不要使用除非要求使用)          --disable <test>[,<test>...] 跳過指定檢查對象(默認為無)          --display-logfile             在最后顯示日志文件內容          --enable <test>[,<test>...] 對指定檢測對象進行檢查(默認檢測所有對象)          --hash {MD5 | SHA1 | NONE |   使用指定的文件哈希函數                  <command>}            (Default is SHA1)      -h, --help                        顯示幫助菜單 --lang, --language <language>         指定使用的語言(默認是英文)          --list [tests | languages |   羅列測試對象明朝，使用語言，可檢測的木馬程序                  rootkits]                   -l, --logfile [file]              寫到指定的日志文件名 (Default is /var/log/rkhunter.log)          --noappend-log                不追加日志，直接覆蓋日志文件          --nocolors                    輸出只顯示黑白兩色          --nolog                       不寫入日志文件 --nomow, --no-mail-on-warning          如果有警告信息，不發送郵件    --ns, --nosummary                   不顯示檢查結果的統計數據 --novl, --no-verbose-logging          不顯示詳細記錄          --pkgmgr {RPM | DPKG | BSD | 使用特定的包管理用于文件的哈希值驗證                    NONE}               (Default is NONE)          --propupd [file | directory | 更新整個文件屬性數據庫或僅僅更新指定條目                     package]...              -q, --quiet                       安靜模式(no output at all) --rwo, --report-warnings-only        只顯示警告信息      -r, --rootdir <directory>         使用指定的root目錄    --sk, --skip-keypress               自動完成所有檢測，跳過鍵盤輸入          --summary                     顯示檢測結果的統計信息 (This is the default)          --syslog [facility.priority] 記錄檢測啟動和結束時間到系統日志中 (Default level is authpriv.notice)          --tmpdir <directory>          使用指定的臨時目錄          --update                      檢測更新內容    --vl, --verbose-logging             使用詳細日志記錄 (on by default)      -V, --version                     顯示版本信息          --versioncheck                檢測最新版本      -x, --autox                       當X在使用時，自動啟動檢測      -X, --no-autox                    當X在使用時，不自啟檢測

2、chkrootkit

#cd /temp

#wget

#tar -zxvf chkrootkit.tar.gz

#cd chkrootkit-0.48

#make sense

#./chkrootkit -n -q

有問題會報INFECTED，沒問題就是NOT INFECTED，呵呵~

chkrootkit參數說明

Usage: ./chkrootkit [options] [test ...] Options:         -h                 顯示幫助信息         -V                 顯示版本信息         -l                 顯示測試內容         -d                debug模式，顯示檢測過程的相關指令程序         -q                 安靜模式，只顯示有問題部分，         -x                 高級模式，顯示所有檢測結果         -r dir             設定指定的目錄為根目錄         -p dir1:dir2:dirN 檢測指定目錄         -n                跳過NFS連接的目錄

看圖的話可以參考<簡單chkrootkit使用>