如何在 Kali Linux 中安装 Rkhunter 工具？

Rkhunter（Rootkit Hunter）非常适合 POSIX 系统，可以帮助发现Rootkit和其他安全漏洞。 Rkhunter 会全面检查文件（隐藏的和可见的）、默认目录、内核模块和被错误处理的权限。

RootKit Hunter是chkrootkit的另一种替代品。这也是一个很好的补充，因为如果您发现 rootkit 使用其中一个，您将需要使用另一个以避免误报。它用于保护 Linux 系统免受病毒侵害。它是一个 Linux 操作系统防病毒和反恶意软件程序。它运行许多测试以查看服务器是否已感染 rootkit，例如查找特定于 rootkit 的文件、可执行二进制文件的错误文件权限以及识别内核模块等。

RootKit Hunter 会扫描隐藏文件、不正确的二进制权限、内核后门中的可疑字符串以及潜在的本地漏洞。它通过将关键文件的SHA-1哈希值与 Internet 数据库中众所周知的哈希值进行比较来实现这一点。 Rootkit 具有高度可攻击性，并对系统造成严重破坏。它使用一系列工具来建立后门和隐藏路径，使攻击者可以随时访问系统并以root身份登录。

RKHunter 特点：

• MD5 校验和测试确定文件是否已被修改。
• 检测签名的木马
• 找到已隐藏的文件。
• 可疑核心模块的 LKM 检测
• 识别已打开系统的监控端口。
• 检测系统的测试

Rootkit 分为两类：

• 文件级
• 内核级

文件级Rootkit

通常，在通过应用程序或系统漏洞渗透到系统后，系统的关键文件会更新以伪装自己。系统被rootkit感染后，普通文件被木马程序替代，转变成shell程序，隐藏的后门程序就在其中。

内核级 Rootkit

这种类型的渗透比文件级rootkit更复杂。它可以让攻击者完全控制系统的底层。攻击者现在可以更改系统内核以拦截执行软件发送到内核的命令。然后将其指向入侵者选择的软件，您应该启动该软件。

安装

步骤 1：在 Linux 中，安装 Rootkit Hunter Scanner Tool。如果您使用的是 Kali Linux，请使用此终端命令进行安装。

第 2 步：然后更新此工具。

用法

您可以使用以下命令查看您的计算机是否感染了 rootkit：

如您所见， RkHunter与 chkrootkit 一样，首先分析系统二进制文件以及库和字符串：

如您所见，与 chkrootkit 不同， RkHunter会要求您按ENTER以进入下一阶段。 RootKit Hunter之前会搜索系统二进制文件和库，现在它会检查已知的 Rootkit：

要允许RkHunter继续搜索 rootkit，请按 ENTER：

然后，类似于 chkrootkit，它将扫描您的网络接口以及已知被后门和木马程序使用的端口：

最后，将打印结果摘要。

默认情况下， Rkhunter在系统上运行各种众所周知的检查。但是，您也可以使用“–scan-knownbad-files”来发现未知错误：

Rootkit漏洞数据库系统用于识别Rkhunter ；数据库经常更新，因此保持数据库最新至关重要。

记录在/var/log/rkhunter.log中的结果总是可以访问的：