Linux
Rootkit 掃描
有什麼好的服務或方法可以掃描 rootkit 和後門嗎?
我知道有 rkhunter 和 chkrootkit,但它們不再是理想的了嗎?它們似乎從未更新過,看起來更像是 2000 年代初期的好東西
我不知道 OSSEC 多久更新一次他們的 rootkit 檢測,但我知道它具有內置功能。下面是顯示執行的各種檢查的連結 - http://www.ossec.net/doc/manual/rootcheck /index.html。總的來說,我喜歡這個產品,因為它能夠進行 rootkit 檢查、完整性檢查,並且仍然是一個 HIDS/HIPS。您還可以輕鬆地創建自己的規則來提醒基本上任何事情。
編輯:就後門而言,您可以使用程序監控功能 - http://www.ossec.net/doc/manual/monitoring/process-monitoring.html。如果 netstat 命令的輸出發生變化,頁面上有一個範例會提醒您。因此,如果您的伺服器在應該打開哪些埠上相當一致,那麼這肯定是一個危險信號。