Ubuntu 机器中存在键盘记录器/屏幕记录器嫌疑

Question

使用 RKHUNTER 检查 rootkit 和恶意软件

黑客攻击后，我们应该寻找根工具包和恶意软件在我们的机器中。这些恶意软件会破坏文件并损害我们对机器的控制。

有一些软件可以帮助我们搜索这些恶意软件，其中之一是RK猎人。

什么是 rootkit？

来自维基百科：

Rootkit 是一组计算机软件，通常是恶意软件，旨在允许访问计算机或其软件中的某些区域（例如，未经授权的用户），同时掩盖其存在或其他软件的存在。Rootkit 一词由“root”（类 Unix 操作系统上特权帐户的传统名称）和“kit”（指实现该工具的软件组件）两个词组合而成。由于与恶意软件有关，“Rootkit”一词具有负面含义。

Rootkit 的安装可以自动进行，或者攻击者可以在获得 root 或管理员访问权限后安装它。获得此访问权限是通过直接攻击系统（即利用已知漏洞（例如权限提升）或密码（通过破解或社会工程获得）的结果。安装后，就可以隐藏入侵并保持特权访问权限。关键是 root 或管理员访问权限。完全控制系统意味着可以修改现有软件，包括可能用于检测或规避它的软件。

Rootkit 检测很困难，因为 Rootkit 可能会破坏旨在找到它的软件。检测方法包括使用替代的、受信任的操作系统、基于行为的方法、签名扫描、差异扫描和内存转储分析。删除可能很复杂或几乎不可能，尤其是在 Rootkit 驻留在内核中的情况下；重新安装操作系统可能是解决问题的唯一方法。处理固件 Rootkit 时，删除可能需要更换硬件或使用专门的设备。

什么是恶意软件？

来自维基百科：

恶意软件是恶意软件的简称，是一种无需计算机所有者批准即可安装在计算机上的软件。有不同类型的恶意软件可以损害计算机，例如病毒和间谍软件。这些程序可以窃取密码、删除文件、收集个人信息，甚至完全阻止计算机运行。计算机安全或反恶意软件通常可以很好地阻止恶意软件自行安装。如果没有安装安全软件，恶意软件就会进入计算机。即使使用专门用于删除恶意软件的程序，清除恶意软件也很困难。

安装 RKHUNTER

打开终端：ctrl++altt
执行此命令： sudo apt-get install rkhunter

你可以离开后缀如果安装时要求配置，则未配置。后缀仅用于发送电子邮件警报，并且可以在您想要使用此功能时进行配置。

扫描您的系统

更新 rkhunter 数据库。执行：

rkhunter --update

sudo rkhunter --propupd
使用以下命令检查您的系统：

sudo rkhunter -c
RK猎人输出内容丰富多彩且易于理解。该软件会检查系统中的多个项目，每次检查一个项目时好的或者恶意软件未找到，这些消息以绿色文本显示。如果需要您注意某些事情，文本“警告“显示为红色。如果您只想查看警告，使用命令sudo rkhunter -c --rwo。
如果要查看日志，请执行：

cat /var/log/rkhunter.log

使用 RKHUNTER 检查 rootkit 和恶意软件

黑客攻击后，我们应该寻找根工具包和恶意软件在我们的机器中。这些恶意软件会破坏文件并损害我们对机器的控制。

有一些软件可以帮助我们搜索这些恶意软件，其中之一是RK猎人。

什么是 rootkit？

来自维基百科：

Rootkit 是一组计算机软件，通常是恶意软件，旨在允许访问计算机或其软件中的某些区域（例如，未经授权的用户），同时掩盖其存在或其他软件的存在。Rootkit 一词由“root”（类 Unix 操作系统上特权帐户的传统名称）和“kit”（指实现该工具的软件组件）两个词组合而成。由于与恶意软件有关，“Rootkit”一词具有负面含义。

Rootkit 的安装可以自动进行，或者攻击者可以在获得 root 或管理员访问权限后安装它。获得此访问权限是通过直接攻击系统（即利用已知漏洞（例如权限提升）或密码（通过破解或社会工程获得）的结果。安装后，就可以隐藏入侵并保持特权访问权限。关键是 root 或管理员访问权限。完全控制系统意味着可以修改现有软件，包括可能用于检测或规避它的软件。

Rootkit 检测很困难，因为 Rootkit 可能会破坏旨在找到它的软件。检测方法包括使用替代的、受信任的操作系统、基于行为的方法、签名扫描、差异扫描和内存转储分析。删除可能很复杂或几乎不可能，尤其是在 Rootkit 驻留在内核中的情况下；重新安装操作系统可能是解决问题的唯一方法。处理固件 Rootkit 时，删除可能需要更换硬件或使用专门的设备。

什么是恶意软件？

来自维基百科：

恶意软件是恶意软件的简称，是一种无需计算机所有者批准即可安装在计算机上的软件。有不同类型的恶意软件可以损害计算机，例如病毒和间谍软件。这些程序可以窃取密码、删除文件、收集个人信息，甚至完全阻止计算机运行。计算机安全或反恶意软件通常可以很好地阻止恶意软件自行安装。如果没有安装安全软件，恶意软件就会进入计算机。即使使用专门用于删除恶意软件的程序，清除恶意软件也很困难。

安装 RKHUNTER

打开终端：ctrl++altt
执行此命令： sudo apt-get install rkhunter

你可以离开后缀如果安装时要求配置，则未配置。后缀仅用于发送电子邮件警报，并且可以在您想要使用此功能时进行配置。

扫描您的系统

更新 rkhunter 数据库。执行：

rkhunter --update

sudo rkhunter --propupd
使用以下命令检查您的系统：

sudo rkhunter -c
RK猎人输出内容丰富多彩且易于理解。该软件会检查系统中的多个项目，每次检查一个项目时好的或者恶意软件未找到，这些消息以绿色文本显示。如果需要您注意某些事情，文本“警告“显示为红色。如果您只想查看警告，使用命令sudo rkhunter -c --rwo。
如果要查看日志，请执行：

cat /var/log/rkhunter.log

Ubuntu 机器中存在键盘记录器/屏幕记录器嫌疑

答案1

使用 RKHUNTER 检查 rootkit 和恶意软件

什么是 rootkit？

什么是恶意软件？

安装 RKHUNTER

扫描您的系统

更多信息请访问：

相关内容