linuxrootkit

① linux系统平台下病毒种类主要有哪些

Linux系统平台下的病毒主要分为以下4类：
1、可执行文件型病毒，这个主要就是指能够寄生在文件中的以文件为主要感染对象的病毒。
2、蠕虫（worm）病毒，Linux平台下的蠕虫病毒极为猖獗，像利用系统漏洞进行传播的ramen、lion、Slapper等，这些病毒都感染了大量的Linux系统，造成了巨大的损失。
3、脚本病毒，这样的多为使用shell脚本语言编写的病毒，这类病毒编写较为简单，但破坏力却同样惊人，像以.sh结尾的脚本文件，一个短短数十行的shell脚本就可以在短时间内感染硬盘中所有的脚本文件。
4、后门程序，从增加系统超级用户帐号的简单后门，到利用系统服务加载、共享库文件注射、rootkit工具包，甚至可以装载内核模块（LKM）而产生的后门，Linux平台下的后门技术发展非常成熟，隐蔽性强，难以清除，已经成为Linux系统管理员极为头疼的问题。

② Linux操作系统可用的杀毒软件有哪些

6款适用于Linux系统的免费杀毒软件：

1、ClamAV

是一款开源防病毒软件，可检测病毒、恶意软件、特洛伊木马和其他威胁，也是免费提供的，这使其成为Linux上最好的防病毒软件之一，ClamAV具有命令行扫描程序，这意味着它可以扫描主要文件类型中的蠕虫、病毒和特洛伊木马，为确保安全并保持最新状态，病毒库一天会更新多次。

2、Chkrootkit

Chkrootkit会检查rootkit，它是一个在命令行界面上运行的免费软件，可以在不安装软件的情况下扫描您的系统，还是一个轻量级程序，这意味着它不会影响系统性能，还可以检测各种其他恶意软件和木马，如后门、TinyNDS
等。

3、Comodo

作为Linux上最好的免费防病毒软件之一，Comodo带有按需病毒扫描程序，还检查使用云数据库以检查未知文件，以确保每一天的安全，一旦安装，就不会用无用的警报来打扰你，只是保护计算机免受所有传入的威胁。

4、Sophos

作为另一款免费的防病毒软件，Sophos具有高级功能，并且在Linux系统上也能轻松运行，可以使你的Linux免受Android、Windows和Mac的病毒和恶意软件的侵害，且具有强大的基于启发式的检测和实时扫描功能。

5、Rootkit Hunter

另一个免费检测rootkit的好选择，Rootkit
Hunter也被认为是Linux上最好的防病毒软件之一，与大多数UNIX系统兼容，使用命令行界面，重量轻。

6、F-PROT

是一款带有按需扫描仪的免费软件，这是一个不错的选择，可确保针对宏病毒、引导扇区病毒和木马的安全性，可以根据自己的喜好安排扫描，强大的工具是快速扫描和庞大数据库的组合，可确保您的系统安全。

③ linux的rootkit工具包通常使用哪些技术

1、 chfn

这个指令用来修改用户的finger information(指纹信息)，作为后门的chfn可以接收用户输入的password，从而进入rootkit模式。

2、 chsh

切换shell的指令，作为后门的chfn可以接收用户输入的password，从而进入rootkit模式。

3、 crontab使用预设的"正常"的crontab(计划任务)给用户看，从而将rootkit设置的后门启动项隐藏起来。

4、

和ls作用类似，rootkit劫持后会隐藏rootkit相关文件，从而欺骗用户。

5、 find

find [-H] [-L] [-P] [-Olevel] [-D help|tree|search|stat|rates|opt|exec] [path... [expression]寻找指定文件的指令，rootkit劫持后会隐藏rootkit相关文件，从而欺骗用户 。

6、 ifconfig

rootkit劫持后会隐藏"混杂模式"的标志位(混杂模式被rootkit用来进行网络流量嗅探) 。

7、 inetd

用户后门访问的远程访问服务器。

8、 killall

rootkit劫持了原本的"杀进程kill、killall"指令之后，会在本地维护份"ROOTKIT_PROCESS_FILE"列表，凡是在这个列表中的进程都禁止杀死，以此对抗系统管理员使用kill命令强行结束rootkit后门程序 。

9、 login

rootkit劫持了login程序之后，除了保证原本的正常用户登录过程，还允许rootkit种植者使用一种叫"万能密码"的机制，即只要用户输入的密码是一个指定的"万能密码"，则用户可以以任何身份登录任何用户。

10、 ls

对指定文件列表中的文件进行隐藏。