搬瓦工 VPS Rkhunter Rootkit 扫描教程
Rkhunter(Rootkit Hunter)是一款专业的 Linux Rootkit 扫描工具,能够检测已知的 Rootkit、后门程序、可疑文件和系统命令篡改等安全威胁。Rootkit 是攻击者在入侵系统后植入的恶意程序,用于隐藏入侵痕迹并维持对系统的控制权。定期运行 Rkhunter 扫描可以及时发现这些隐蔽的安全威胁。本文将详细介绍如何在搬瓦工 VPS 上安装和使用 Rkhunter。
一、安装 Rkhunter
1.1 通过包管理器安装
# Ubuntu / Debian
apt update
apt install rkhunter -y
# CentOS / RHEL
yum install epel-release -y
yum install rkhunter -y1.2 从源码安装
cd /tmp
wget https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -xzf rkhunter-1.4.6.tar.gz
cd rkhunter-1.4.6
./installer.sh --install二、初始配置
2.1 更新数据库
# 更新 Rkhunter 数据库
rkhunter --update
# 更新文件属性数据库
rkhunter --propupd2.2 编辑配置文件
vi /etc/rkhunter.conf关键配置项:
# 启用自动更新
UPDATE_MIRRORS=1
MIRRORS_MODE=0
WEB_CMD=""
# 邮件通知
MAIL-ON-WARNING=admin@example.com
# 允许 SSH root 登录检查(根据实际情况设置)
ALLOW_SSH_ROOT_USER=no
# 允许 SSH 协议版本
ALLOW_SSH_PROT_V1=0
# 包管理器验证
PKGMGR=DPKG # Debian/Ubuntu
# PKGMGR=RPM # CentOS/RHEL
# 脚本白名单(根据系统添加)
SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which三、运行扫描
3.1 完整扫描
rkhunter --check3.2 跳过按键确认
rkhunter --check --skip-keypress3.3 仅报告警告
rkhunter --check --report-warnings-only3.4 查看扫描日志
cat /var/log/rkhunter.log四、扫描内容说明
Rkhunter 扫描过程包括以下检查项目:
- 系统命令检查:验证常用系统命令(如 ls、ps、netstat)是否被替换或篡改。
- Rootkit 检查:扫描数百种已知的 Rootkit 特征文件和目录。
- 后门检查:检测常见的后门程序和嗅探器。
- 网络检查:检查可疑的监听端口和网络接口配置。
- 系统启动文件检查:验证启动脚本是否被篡改。
- 用户和组检查:检查是否存在异常的 UID 0 用户或可疑账户。
- 文件属性检查:对比系统关键文件的哈希值。
五、处理扫描警告
5.1 常见误报处理
# 如果系统更新后出现文件属性变化警告,需要更新基线
rkhunter --propupd
# 如果出现 /dev 目录下的可疑文件警告
# 检查是否为正常的设备文件
ls -la /dev/.udev # 通常是正常的
# 将已确认安全的项目加入白名单
# 编辑 /etc/rkhunter.conf
ALLOWDEVFILE=/dev/.udev/rules.d/*5.2 发现真实威胁的处理
# 如果发现真实的 Rootkit 或系统命令被篡改:
# 1. 立即断开网络连接(通过搬瓦工控制面板)
# 2. 备份重要数据
# 3. 使用搬瓦工控制面板重装系统
# 4. 从备份恢复数据(仅恢复数据文件,不恢复可执行文件)
# 5. 更新所有密码和密钥六、定期自动扫描
# 创建自动扫描脚本
cat > /opt/rkhunter-scan.sh <<'EOF'
#!/bin/bash
# 更新数据库
rkhunter --update --nocolors
# 运行扫描
rkhunter --check --skip-keypress --report-warnings-only --nocolors
# 检查退出码
if [ $? -ne 0 ]; then
echo "WARNING: Rkhunter found issues! Check /var/log/rkhunter.log" | \
mail -s "Rkhunter Alert on $(hostname)" admin@example.com
fi
EOF
chmod +x /opt/rkhunter-scan.sh
# 添加到 crontab,每天凌晨 4 点运行
echo "0 4 * * * root /opt/rkhunter-scan.sh" >> /etc/crontab七、系统更新后维护
# 系统更新后(apt upgrade 或 yum update)需要更新基线
# 否则下次扫描会对更新过的文件报告警告
apt update && apt upgrade -y
rkhunter --propupd八、配合其他工具使用
Rkhunter 专注于 Rootkit 检测,建议配合以下工具构建完整的安全扫描体系:
总结
Rkhunter 是搬瓦工 VPS 上不可或缺的安全检查工具,能够有效检测隐蔽的 Rootkit 和系统篡改。建议在全新安装的系统上立即运行 rkhunter --propupd 建立文件基线,然后定期执行扫描。选购搬瓦工 VPS 请参考 全部方案,购买时使用优惠码 NODESEEK2026 可享受 6.77% 的折扣,通过 bwh81.net 进入官网购买。