分類： 學科學

Rootkit是一個特殊的惡意軟體，它可隱藏自身以及指定的文件、進程、網路、鏈接、埠等信息。Rootkit可通過載入特殊的驅動修改系統內核，進而達到隱藏信息的目的。

Rootkit的三要素就是：隱藏、操縱、收集數據。不同的操作系統會有不同的Rootkit，Linux系統中的Rootkit就被稱為LinuxRootkit。

Rootkit具有隱身功能，無論靜止時作為文件存在，還是活動時作為進程存在，都不會被察覺，它可能永遠存在於計算機中。

無論是那種形式的Rootkit，都需要實現以下功能：

1，遠程指令執行

通過網路向Rootkit所駐留的系統發送指令，從而控制遠程主機；

2，信息收集

收集系統的活動信息、網路上其它主機的數據信息等；

3，文件隱藏

把目標主機上的特定文件隱藏起來，使其不能通過常規方法查看到，這樣就可以隱藏一部分系統被控制的痕迹；

4，進程隱藏

在控制目標主機或收集系統信息時會啟動相關的進程，通過Rootkit可以實現對進程的隱藏；

5，網路連接隱藏

將網路連接的埠信息隱藏，利用netstat等工具無法顯示隱藏的信息，這樣就可以隱秘地向遠端發送信息；

6，內核模塊隱藏

將Rootkit自身在系統中安裝的模塊隱藏起來，提高自身生存能力。

Chkrootkit是一種Linux後門入侵檢測工具，可以用來檢測rootkit後門的工具，rootkit常被入侵者用來入侵控制別人的電腦，危險性很強。而，Chkrootkit工具可以很好的檢測到rootkit程序。Chkrootkit運行環境為linux，可以直接通過ftp://chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz地址來下載。

┌──(taiji㉿kali)-[~]
└─$ wget ftp://chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
--2023-02-10 15:15:31--  ftp://chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
           => 「chkrootkit.tar.gz」
正在解析主機 chkrootkit.org (chkrootkit.org)... 187.33.4.179
正在連接 chkrootkit.org (chkrootkit.org)|187.33.4.179|:21... 已連接。正在以 anonymous 登錄 ... 登錄成功！==> SYST ... 完成。   ==> PWD ... 完成。==> TYPE I ... 完成。 ==> CWD (1) /pub/seg/pac ... 完成。==> SIZE chkrootkit.tar.gz ... 41948
==> PASV ... 完成。   ==> RETR chkrootkit.tar.gz ... 完成。長度：41948 (41K) (非正式數據)

chkrootkit.tar.gz           100%[=========================================>]  40.96K  39.8KB/s  用時 1.0s    

2023-02-10 15:15:43 (39.8 KB/s) - 「chkrootkit.tar.gz」 已保存 [41948]

隨後進行解壓縮：

┌──(taiji㉿kali)-[~]
└─$ tar zxvf chkrootkit.tar.gz                                       
chkrootkit-0.57/ACKNOWLEDGMENTS
chkrootkit-0.57/check_wtmpx.c
chkrootkit-0.57/chkdirs.c
chkrootkit-0.57/chklastlog.c
chkrootkit-0.57/chkproc.c
chkrootkit-0.57/chkrootkit
chkrootkit-0.57/chkrootkit.lsm
chkrootkit-0.57/chkutmp.c
chkrootkit-0.57/chkwtmp.c
chkrootkit-0.57/COPYRIGHT
chkrootkit-0.57/ifpromisc.c
chkrootkit-0.57/Makefile
chkrootkit-0.57/README
chkrootkit-0.57/README.chklastlog
chkrootkit-0.57/README.chkwtmp
chkrootkit-0.57/strings.c
                                                                                                              

打開文件夾，輸入make命令進行編譯：

┌──(taiji㉿kali)-[~]
└─$ cd chkrootkit-*
                                                                                                              
┌──(taiji㉿kali)-[~/chkrootkit-0.57]
└─$ make
cc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
chklastlog.c: In function 『main』:
chklastlog.c:112:9: warning: 『memcpy』 reading 127 bytes from a region of size 14 [-Wstringop-overread]
  112 |         memcpy(wtmpfile, WTMP_FILENAME, 127);
      |         ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
chklastlog.c:113:9: warning: 『memcpy』 reading 127 bytes from a region of size 17 [-Wstringop-overread]
  113 |         memcpy(lastlogfile, LASTLOG_FILENAME, 127);
      |         ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
cc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c
chkwtmp.c: In function 『main』:
chkwtmp.c:73:8: warning: 『memcpy』 reading 127 bytes from a region of size 14 [-Wstringop-overread]
   73 |        memcpy(wtmpfile, WTMP_FILENAME, 127);
      |        ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
cc -DHAVE_LASTLOG_H   -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c
cc  -o chkproc chkproc.c
cc  -o chkdirs chkdirs.c
cc  -o check_wtmpx check_wtmpx.c
cc -static  -o strings-static strings.c
cc  -o chkutmp chkutmp.c

直接運行其chkrootkit可執行文件即可，它會對系統進行全面的rootkit檢測：

┌──(taiji㉿kali)-[~/chkrootkit-0.57]
└─$ sudo ./chkrootkit       
[sudo] taiji 的密碼：ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected

上面是chkrootkit基本用法，下面再來加深些印象，首先chkrootkit可通過h參數來查看基本的幫助信息，了解其他參數及用法，如下:

┌──(taiji㉿kali)-[~/chkrootkit-0.57]
└─$ chkrootkit -h  
Usage: /usr/sbin/chkrootkit [options] [test ...]
Options:
        -h                show this help and exit
        -V                show version information and exit
        -l                show available tests and exit
        -d                debug
        -q                quiet mode
        -x                expert mode
        -e 'FILE1 FILE2'  exclude files/dirs from results. Must be followed by a space-separated list of files/dirs.
                          Read /usr/share/doc/chkrootkit/README.FALSE-POSITIVES first.
        -s REGEXP         filter results of sniffer test through 'grep -Ev REGEXP' to exclude expected
                          PACKET_SNIFFERs. Read /usr/share/doc/chkrootkit/README.FALSE-POSITIVES first.
        -r DIR            use DIR as the root directory
        -p DIR1:DIR2:DIRN path for the external commands used by chkrootkit
        -n                skip NFS mounted dirs

示例1：chkrootkit默認檢索整個系統，我們可以通過管道去搜索INFECTED（被感染）關鍵字，方便查看:

┌──(taiji㉿kali)-[~/chkrootkit-0.57]
└─$ ./chkrootkit | grep INFECTED

我這裡是剛裝的新系統，chkrootkit不應該報結果，如果有報結果，就注意查看可執行文件。

示例2：Chkrootkit也可檢查系統命令是否受感染，例如ps、ls，如下

┌──(taiji㉿kali)-[~/chkrootkit-0.57]
└─$ ./chkrootkit ps ls          
./chkrootkit needs root privileges
                                                                                                              
┌──(taiji㉿kali)-[~/chkrootkit-0.57]
└─$ sudo ./chkrootkit ps ls
ROOTDIR is `/'
Checking `ps'... not infected
Checking `ls'... not infected

示例3：chkrootkit可傳入sniffer參數來檢查網路介面是否處於混雜模式，混雜模式下的網路介面會接受所有經過自己的數據流，一般管理員調試或者黑客入侵搜集信息時會用到，而正常情況下網路介面都處於非混雜模式，即只接受目標地址是自己的數據流，wireshark抓包即混雜模式接受所有數據流。

┌──(taiji㉿kali)-[~/chkrootkit-0.57]
└─$ ./chkrootkit sniffer
./chkrootkit needs root privileges
                                                                                                              
┌──(taiji㉿kali)-[~/chkrootkit-0.57]
└─$ sudo ./chkrootkit sniffer
ROOTDIR is `/'
Checking `sniffer'... eth0: PF_PACKET(/usr/sbin/NetworkManager, /usr/sbin/NetworkManager)

一、首先查詢網站IP，https://ipaddress.com/website/

二、在windows上 C:\Windows\System32\drivers\etc\hosts文件上添加：

140.82.112.4 github.com

三、在LINUX系統中，打開終端，用VIM打開hosts文件後，按「i」鍵編輯添加「140.82.112.4 github.com」。

┌──(taiji㉿kali)-[~]
└─$ sudo vim /etc/hosts

四、用VIM編輯完畢後按「ESC」鍵，按「SHIFT+:」，輸入「wq」保存退出，再打開終端嘗試，發現就可以連接下載了。

┌──(taiji㉿kali)-[~]
└─$ git clone https://github.com/RinCat/RTL88x2BU-Linux-Driver
正克隆到 'RTL88x2BU-Linux-Driver'...
remote: Enumerating objects: 2750, done.
remote: Counting objects: 100% (280/280), done.
remote: Compressing objects: 100% (73/73), done.
remote: Total 2750 (delta 241), reused 231 (delta 207), pack-reused 2470
接收對象中: 100% (2750/2750), 8.37 MiB | 99.00 KiB/s, 完成.
處理 delta 中: 100% (1964/1964), 完成.

一、首先輸入「lsusb」命令查看無線網卡的晶元型號：

┌──(taiji㉿kali)-[~]
└─$ lsusb
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 001 Device 003: ID 0bda:5411 Realtek Semiconductor Corp. RTS5411 Hub
Bus 001 Device 002: ID 0bda:b812 Realtek Semiconductor Corp. RTL88x2bu [AC1200 Techkey]
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 003: ID 4e53:5407  USB OPTICAL MOUSE 
Bus 004 Device 002: ID 413c:2003 Dell Computer Corp. Keyboard SK-8115
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

二、此電腦無線網卡型號為RTL88x2bu，到GITHUB搜索無線網卡驅動包，找到這個驅動資源包https://github.com/RinCat/RTL88x2BU-Linux-Driver，下載以後解壓。

三、在解壓包文件夾中右鍵——「在這裡打開終端」。如果之前曾經編譯過，可以將之前產生的可執行檔及其他檔案刪除, 有時發現重新編譯出來的檔案沒有更新, 可以先執行「make clean」

make clean

四、然後再開始「make」安裝命令：

┌──(taiji㉿kali)-[~/下載/RTL88x2BU-Linux-Driver-master]
└─$ make
/bin/sh: 1: bc: not found
make ARCH=x86_64 CROSS_COMPILE= -C /lib/modules/6.0.0-kali3-amd64/build M=/home/taiji/下載/RTL88x2BU-Linux-Driver-master  modules
make[1]: 進入目錄「/usr/src/linux-headers-6.0.0-kali3-amd64」
/bin/sh: 1: bc: not found
  CC [M]  /home/taiji/下載/RTL88x2BU-Linux-Driver-master/core/rtw_cmd.o
  CC [M]  /home/taiji/下載/RTL88x2BU-Linux-Driver-master/core/rtw_security.o
  CC [M]  /home/taiji/下載/RTL88x2BU-Linux-Driver-master/core/rtw_debug.o

五、輸入命令「sudo make install」，出現錯誤提示「/bin/sh: 1: bc: not found」

┌──(taiji㉿kali)-[~/下載/RTL88x2BU-Linux-Driver-master]
└─$ sudo make install
/bin/sh: 1: bc: not found
install -p -m 644 88x2bu.ko  /lib/modules/6.0.0-kali3-amd64/kernel/drivers/net/wireless/
/sbin/depmod -a 6.0.0-kali3-amd64

六、輸入命令「sudo apt install bc」，來解決上面出現的錯誤提示。

┌──(taiji㉿kali)-[~/下載/RTL88x2BU-Linux-Driver-master]
└─$ sudo apt install bc                           
正在讀取軟體包列表... 完成
正在分析軟體包的依賴關係樹... 完成
正在讀取狀態信息... 完成          

七、再一次輸入命令「sudo make install」，這回成功安裝了。重啟電腦，無線網卡驅動即安裝成功。

┌──(taiji㉿kali)-[~/下載/RTL88x2BU-Linux-Driver-master]
└─$ sudo make install
install -p -m 644 88x2bu.ko  /lib/modules/6.0.0-kali3-amd64/kernel/drivers/net/wireless/
/sbin/depmod -a 6.0.0-kali3-amd64

想要在ubuntu右鍵新建文本、新建電子表格、新建電子文檔、新建演示文稿，該如何操作呢？

首先打開LIBREOFFICE，分別新建電子表格、新建電子文檔、新建演示文稿，別分別保存為「.xlsx」、「.docx」、「.pptx」格式。

然後打開終端，將這個文檔複製到主目錄的「模板」文件夾中：

taiji@taiji:~/模板$ sudo cp '/home/taiji/桌面/電子文檔.docx'  /home/taiji/模板/
[sudo] taiji 的密碼： 
taiji@taiji:~/模板$ sudo cp '/home/taiji/桌面/電子表格.xlsx'  /home/taiji/模板/
taiji@taiji:~/模板$ sudo cp '/home/taiji/桌面/演示文稿.pptx'  /home/taiji/模板/
taiji@taiji:~/模板$ sudo gedit 文本.txt

然後在桌面右鍵，就可以看到有新建電子表格、新建電子文檔、新建演示文稿、新建文本文檔等選項了。（其中的新建文本，在輸入「sudo gedit 文本文檔.txt」命令之後，會打開一個文本，點擊保存即可。）

由於 ubuntu 22.04 移除了 gnome-shell-extension-* 所有的包， 所以無法使用 apt install gnome-shell-extension-autohidetopbar 的方式來安裝隱藏頂欄的插件。我找了一個隱藏UBUNTU的方法和大家分享：

一、首先打開終端，輸入安裝命令：

 sudo apt install chrome-gnome-shell 

二、然後打開網站：https://extensions.gnome.org/，點擊「Click here to install browser extension」安裝 chrome 或者 firefox 瀏覽器插件。

三、然後搜索「hide top bar 」即可安裝和管理gnome-shell 的包。

四、安裝完了以後，在應用程序里搜索「extensions」，然後在 extensions 中可以對插件進行設置即可實現隱藏UBUNTU頂欄。

家裡添了個裕合聯WD-4605AC-GR無線網卡，現在要給在UBUNTU系統下安裝驅動。操作步驟如下：

首先輸入「lsusb」查看網卡的驅動型號：

taiji@192:~$ lsusb
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 001 Device 003: ID 0bda:5411 Realtek Semiconductor Corp. RTS5411 Hub
Bus 001 Device 002: ID 0e8d:7612 MediaTek Inc. MT7612U 802.11a/b/g/n/ac Wireless Adapter
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 003: ID 4e53:5407  USB OPTICAL MOUSE 
Bus 004 Device 002: ID 413c:2003 Dell Computer Corp. Keyboard SK-8115
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

上面系統顯示網卡的型號為MT7612U，所以到github直接下載：

git clone https://github.com/morrownr/7612u.git

可能提示未安裝git，輸入安裝命令：

sudo apt install git

然後再執行下載驅動包：

git clone https://github.com/morrownr/7612u.git

如果提示無法接連網路，則表示這個網站被牆了，這個要靠你動腦筋去解決了，這裡省略不說，會的自然會，不會的自己去悟。下載完驅動包之後，輸入命令進入安裝包文件夾：

cd 7612u

執行安裝命令：

sudo ./led_ctrl_7612u.sh

系統註銷，再登陸以後連接WIFI即可。

家裡電腦安裝LINUX系統之後，仍舊發生被遠程操作卡停等開擾情況，這是因為家裡的電腦被遠程SSH登陸的原因。解決思路：禁止所有的遠程登陸，只允許本地登陸。

一、禁止用戶登錄

1、修改用戶配置文件/etc/shadow
      將第二欄設置為「*」，如下。那麼該用戶就無法登錄。但是使用這種方式會導致該用戶的密碼丟失，也就是當你再次允許他登錄的時候，你還得讓他重新設置密碼。（再次啟用這個帳號的方法是把「*」去掉就可以了）
      如：tom:\*:14245:0:99999:7:::

2、使用命令usermod
      這個方式簡單又實用，而且沒有（1）中的副作用。

usermod -L tom##Lock 帳號tom
usermod -U tom##Unlock 帳號tom

3、通過修改shell類型
      這種方式會更加人性化一點，因為你不僅可以禁止用戶登錄，還可以告訴他你這麼做的原因。如下：

chsh tom-s /sbin/nologin #將用戶tom的shell進行更改
 
###############
##修改/etc/nologin.txt(沒有就新建一個)，
##在裡面添加給被禁止用戶的提示
###############

#解禁用戶的方式就是把shell改為他原有的就可以了。

4、禁止所有的用戶登錄
      當你（如果你是系統管理員）不想讓所有用戶登錄時（比如你要維護系統升級什麼的），如果按上面的方式，一個一個地去禁止用戶登錄，這將是很……無聊的事。而且還容易出錯。下面有一種簡潔有效的方式：

##在/etc目錄下建立一個nologin文檔
touch /etc/nologin ##如果該文件存在，那麼Linux上的所有用戶（除了root以外）都無法登錄
##在/etc/nologin（注意：這可不是（3）中的nologin.txt啊！）寫點什麼，告訴用戶為何無法登錄
#################
cat /etc/nologin
9：00－10：00 系統升級，所有用戶都禁止登錄！

##解禁帳號也簡單，直接將/etc/nologin刪除就行了！

5、修改用戶配置文件/etc/ssh/sshd_config
（1）只允許指定用戶進行登錄（白名單）：

在/etc/ssh/sshd_config配置文件中設置AllowUsers選項，（配置完成需要重啟 SSHD 服務）格式如下：
AllowUsers    aliyun test@192.168.1.1            
# 允許 aliyun 和從 192.168.1.1 登錄的 test 帳戶通過 SSH 登錄系統。

（2）只拒絕指定用戶進行登錄（黑名單）：

在/etc/ssh/sshd_config配置文件中設置DenyUsers選項，（配置完成需要重啟SSHD服務）格式如下：   
DenyUsers    zhangsan aliyun    #Linux系統賬戶        
# 拒絕 zhangsan、aliyun 帳戶通過 SSH 登錄系統

（3）禁止root通過ssh遠程登錄

vi /etc/ssh/sshd_config
找到PermitRootLogin，將後面的yes改為no，把前面的注釋#取消，這樣root就不能遠程登錄了！
可以用普通賬號登錄進去，要用到root的時候使用命令su root切換到root賬戶

重啟SSH

service sshd restart

二、限制IP登錄
      除了可以禁止某個用戶登錄，我們還可以針對固定的IP進行禁止登錄，linux 伺服器通過設置/etc/hosts.allow和/etc/hosts.deny這個兩個文件，hosts.allow許可大於hosts.deny可以限制或者允許某個或者某段IP地址遠程 SSH 登錄伺服器，方法比較簡單，且設置後立即生效，不需要重啟SSHD服務，具體如下：

/etc/hosts.allow添加
sshd:192.168.0.1:allow  #允許 192.168.0.1 這個IP地址SSH登錄
sshd:192.168.0.:allow #允許192.168.0.1/24這段IP地址的用戶登錄，多個網段可以以逗號隔開，比如192.168.0.,192.168.1.:allow

/etc/hosts.allow添加
sshd:ALL #允許全部的ssh登錄

/etc/hosts.deny添加
sshd:ALL #拒絕全部IP

su 默認切到 root。在linux系統中有很多比較相似的命令，比如su與su-。su命令主要用來切換linux用戶的，而su-也可以切換用戶，只不過它比su命令多了一個字元「-」，那麼Linux系統中su命令與su-命令有什麼區別？以下是詳細的內容介紹。

1、切換root身份不同

su命令：su只是切換了root身份，但shell環境仍然是普通用戶的shell；而su-連用戶和shell環境一切切換成root身份了。只有切換了shell環境才不會出現PATH環境變數錯誤，報command not found的錯誤；

su-命令：su切換成root用戶以後，pwd一下，發現工作目錄仍然是普通用戶的工作目錄；而用su-命令切換以後，工作目錄變成root的工作目錄了。

2、採用su deploy命令後，取目標用戶不同

su命令：su不會讀取目標用戶的環境配置文件；

su-命令：su-讀取目標用戶的環境配置文件；

綜上總結：有-和無-各自的環境變數不同。

3、service命令

su命令：使用su root切換到root用戶後，不可以使用service命令;

su-命令：使用su-後，就可以使用service命令了。

4、用echo $PATH命令後，環境量不同

su命令：環境量變為usr；

su-命令：環境量變為oracle。