2.1 Rootkit查杀

　　chkrootkit

　　网址：http://www.chkrootkit.org使用方法：wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gztar zxvf chkrootkit.tar.gzcd chkrootkit-0.52make sense#编译完成没有报错的话执行检查./chkrootkitrkhunter

　　网址：http://rkhunter.sourceforge.net

　　使用方法：Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gztar -zxvf rkhunter-1.4.4.tar.gzcd rkhunter-1.4.4./installer.sh --installrkhunter -c2.2 病毒查杀

　　Clamav

　　ClamAV的官方下载地址为：http://www.clamav.net/download.html

　　安装方式一：1、安装zlib：wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz tar -zxvf zlib-1.2.7.tar.gzcd zlib-1.2.7#安装一下gcc编译环境： yum install gccCFLAGS="-O3 -fPIC" ./configure --prefix= /usr/local/zlib/make && make install2、添加用户组clamav和组成员clamav：groupadd clamavuseradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav3、安装Clamavtar –zxvf clamav-0.97.6.tar.gzcd clamav-0.97.6./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlibmakemake install4、配置Clamavmkdir /opt/clamav/logsmkdir /opt/clamav/updatatouch /opt/clamav/logs/freshclam.logtouch /opt/clamav/logs/clamd.logcd /opt/clamav/logschown clamav:clamav clamd.logchown clamav:clamav freshclam.log5、ClamAV 使用： /opt/clamav/bin/freshclam 升级病毒库./clamscan –h 查看相应的帮助信息./clamscan -r /home 扫描所有用户的主目录就使用./clamscan -r --bell -i /bin 扫描bin目录并且显示有问题的文件的扫描结果安装方式二：

　　#安装yum install -y clamav#更新病毒库freshclam#扫描方法clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.logclamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.logclamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log#扫描并杀毒clamscan -r --remove /usr/bin/bsd-portclamscan -r --remove /usr/bin/clamscan -r --remove /usr/local/zabbix/sbin#查看日志发现cat /root/usrclamav.log

　　grep FOUND2.3 webshell查杀

　　linux版：

　　河马webshell查杀：http://www.shellpub.com深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html2.4 RPM check检查

　　系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包，查看哪些命令是否被替换了：

　　./rpm -Va > rpm.log如果一切均校验正常将不会产生任何输出，如果有不一致的地方，就会显示出来，输出格式是8位长字符串，每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ，如果是. (点) 则表示测试通过。

　　验证内容中的8个信息的具体内容如下：S 文件大小是否改变M 文件的类型或文件的权限（rwx）是否被改变5 文件MD5校验是否改变（可以看成文件内容是否改变）D 设备中，从代码是否改变L 文件路径是否改变U 文件的属主（所有者）是否改变G 文件的属组是否改变T 文件的修改时间是否改变如果命令被替换了，如果还原回来：

　　文件提取还原案例：rpm -qf /bin/ls 查询ls命令属于哪个软件包mv /bin/ls /tmp 先把ls转移到tmp目录下，造成ls命令丢失的假象rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm

　　 cpio -idv ./bin/ls 提取rpm包中ls命令到当前目录的/bin/ls下cp /root/bin/ls /bin/ 把ls命令复制到/bin/目录 修复文件丢失2.5 linux安全检查脚本

　　Github项目地址：

　　https://github.com/grayddq/GScan

　　https://github.com/ppabc/security_check

　　https://github.com/T0xst/linux