Linuxchkrootkit后门检测全攻略

chkrootkit虽是Linux系统中便捷的rootkit初筛工具，但其能力有限——仅能识别已知签名和典型行为，对LD_PRELOAD劫持、内核模块脱链、syscall表篡改等高级隐蔽后门完全失效；它不校验文件哈希、不分析内存、不扫描非常规路径，甚至自身可能被劫持而输出虚假结果；真正可靠的检测必须依赖rkhunter交叉验证、内存快照分析（如Volatility/LiME）、手动日志与进程溯源，并严格遵循以root权限运行、避开noexec挂载点、审慎解读INFECTED/WARNING/TESTING三类信号等关键实践——记住：chkrootkit安静，不代表系统安全；它只是入侵检测漫长链条上的第一道微弱探照灯。

chkrootkit 是轻量、无依赖的 rootkit 初筛工具，但它不等于“查完就安心”——它只检测已知签名和典型行为模式，对 LD_PRELOAD 劫持、内核模块动态注入、或自定义 syscall 表 patch 几乎无感。必须搭配其他手段交叉验证。

运行 chkrootkit 前必须确认权限和路径

chkrootkit 必须以 root 权限运行，否则 /proc/kcore、/dev/mem、/sbin/ 等关键路径无法读取，导致大量 TESTING 而非 INFECTED 或 not infected 结论，误判率陡增。

• 始终用 sudo chkrootkit，不要省略 sudo；若提示 command not found，先确认是否真已安装：which chkrootkit
• 某些最小化系统（如 Alpine、部分容器镜像）默认不含 chkrootkit，需手动编译或换用 rkhunter
• 避免在挂载了 noexec 的文件系统（如 /tmp）中执行，chkrootkit 会尝试释放临时二进制并执行，Permission denied 错误会导致跳过关键测试项

读懂输出里真正危险的三类标记

INFECTED 是最高优先级信号，但不是唯一依据；WARNING 和 TESTING 同样需要人工跟进，尤其当它们反复出现在同一模块（如 bindshell、sniffer、ifconfig）时。

• INFECTED (PORTS:12345)：说明检测到监听端口的隐藏后门进程，立刻用 ss -tulpn | grep :12345 和 lsof -i :12345 双向确认 PID，再查 /proc/PID/exe
• WARNING: promiscuous mode detected：网卡混杂模式开启，可能为嗅探器，检查 ip link show | grep PROMISC，比对物理网卡是否应有此模式
• TESTING 大量出现（尤其在 chkwtmp、chklastlog 模块）：往往因日志文件被清空、wtmp/lastlog 权限异常或被硬链接替换，需手动运行 ls -l /var/log/wtmp /var/log/lastlog 和 stat /var/log/wtmp

chkrootkit 不报错 ≠ 系统干净

它不校验二进制哈希、不扫描内存、不解析内核模块符号表，因此以下情况完全逃逸：

• 攻击者用 LD_PRELOAD=/tmp/.x/libc.so 替换 ps 输出，chkrootkit 自身也会被劫持——此时它的输出本身已不可信
• 内核模块未列在 lsmod 中（已被从 module_list 脱链），chkrootkit 的 chkproc 模块无法感知
• 后门程序不在 /bin、/usr/bin 下，而藏在 /dev/shm/.a 或 /proc/self/fd/123 这类非常规路径，chkrootkit 默认不递归扫描
• 它不检查 /etc/ld.so.preload 内容，也不验证 echo $LD_PRELOAD，而这正是用户态 rootkit 最常用入口

发现可疑输出后必须做的三件事

别急着删文件或 kill 进程——先固化证据，再隔离验证。

• 立即保存完整输出：sudo chkrootkit 2>&1 | tee /tmp/chkrootkit-$(date +%s).log
• 同步运行 sudo rkhunter --check --sk（跳过键入交互），比对两者的 Warning 条目是否重叠；若仅 chkrootkit 报 INFECTED 而 rkhunter 完全静默，大概率是误报（如自定义监控 agent）
• 对报出的可疑路径（如 /usr/bin/.sshd），不要直接 rm，先做：ls -lai /usr/bin/.sshd、file /usr/bin/.sshd、strings /usr/bin/.sshd | head -20，再决定是否保留副本取证

真正棘手的后门往往让 chkrootkit 安静得反常——它擅长发现“显性钩子”，但对“静默脱链”或“内存马”无能为力。一旦怀疑深度入侵，优先抓内存快照（volatility 或 LiME），再回溯 /proc/[0-9]*/ 底层数据，而不是反复跑 chkrootkit。

终于介绍完啦！小伙伴们，这篇关于《Linuxchkrootkit后门检测全攻略》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！