chkrootkit 在監(jiān)測(cè) rootkit 是否被安裝的過程中，需要使用到一些操作系統(tǒng)本身的命令。但不排除一種情況，那就是入侵者有針對(duì)性的已經(jīng)將 chkrootkit 使用的系統(tǒng)命令也做修改，使得 chkrootkit 無法監(jiān)測(cè) rootkit ，從而達(dá)到即使系統(tǒng)安裝了 chkrootkit 也無法檢測(cè)出 rootkit 的存在，從而依然對(duì)系統(tǒng)有著控制的途徑，而達(dá)到入侵的目的。那樣的話，用 chkrootkit 構(gòu)建入侵監(jiān)測(cè)系統(tǒng)將失去任何意義。對(duì)此，我們?cè)诓僮飨到y(tǒng)剛被安裝之后，或者說服務(wù)器開放之前，讓 chkrootkit 就開始工作。而且，在服務(wù)器開放之前，備份 chkrootkit 使用的系統(tǒng)命令，在一些必要的時(shí)候（懷疑系統(tǒng)命令已被修改的情況等等），讓 chkrootkit使用初始備份的系統(tǒng)命令進(jìn)行工作。

安裝 chkrootkit

首先來下載和安裝 chkrootkit 工具。

[root@sample ~]# tar zxvf chkrootkit.tar.gz ← 展開被壓縮的源代碼

[root@sample ~]# cd chkrootkit* ← 進(jìn)入chkrootkit 源代碼的目錄  

[root@sample chkrootkit-0.46a]# make sense ← 編譯  
[root@sample chkrootkit-0.46a]# cd .. ← 返回上層目錄  
[root@sample ~]# cp -r chkrootkit-* /usr/local/chkrootkit ← 復(fù)制編譯后文件所在的目錄到指定位置  
[root@sample ~]# rm -rf chkrootkit* ← 刪除遺留的源代碼目錄及相關(guān)文件 

測(cè)試 chkrootkit
然后測(cè)試 chkrootkit 是否能夠正常運(yùn)行。
[root@sample ~]# cd /usr/local/chkrootkit ← 進(jìn)入chkrootkit 的目錄  
[root@sample chkrootkit]# ./chkrootkit | grep INFECTED ← 測(cè)試運(yùn)行chkrootkit  
稍等片刻…如果沒有顯示“INFECTED”字樣，而直接出現(xiàn)命令行提示符，說明一  
切OK！  
[root@sample chkrootkit]# cd ← 回到root 用戶目錄