盡管Linux系統可以免受大多數惡意軟件的傳播感染，但也不是絕對安全的。如果你的數據中心架設有Linux服務器，尤其是網站服務器，則更應該對Rootkit木馬和惡意軟件嚴密防范，因為一些數據破壞類Rootkit非常危險，而且攻擊者一旦入侵之后就可能會利用網站服務器進行惡意軟件傳播。如何排除這類風險隱患呢?一種方法就是使用正確的安全檢查工具。

我以Ubuntu Server 16.04系統為例，向大家介紹兩款針對常規Rootkit和惡意軟件的有用檢測工具。

針對Rookit的檢測工具-chkrootkit

安裝

sudo apt-get install chkrootkit

運行程序

sudo chkrootkit

之后，就是等待檢測過程慢慢完成

如果檢測之后出現一些Rookit跡象，可以嘗試分析一樣，因為有些可能是誤報，如在Ubuntu Server 16.04服務器上，會出現以下誤報：

Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd

這是一個與openssh-server package包相關的文件，屬于誤報，可以忽略。如果出現其它Rookit疑似報告，則要引起重視，認真對照chkrootkit的報告進行分析，查找解決問題，因為chkrootkit工具只提供檢測，不提供解決或刪除方法。

針對Malware的檢測工具-ISPProtect

ISPProtect是一款提供針對Linux網站服務器的惡意軟件檢測收費工具(每月$7.92)，但我們可以使用它的試用版本，安裝過程如下：

sudo apt-get install php-cli

sudo mkdir -p /usr/local/ispprotect

sudo chown -R root:root /usr/local/ispprotect

sudo chmod -R 750 /usr/local/ispprotect

sudo cd /usr/local/ispprotect

sudo wget http://www.ispprotect.com/download/ispp_scan.tar.gz

sudo tar xzf ispp_scan.tar.gz

sudo rm -f ispp_scan.tar.gz

sudo ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

運行程序

sudo ispp_scan

之后，程序提示輸入掃描key，如果是試用版本請輸入TRIAL：

下一步，程序將提示輸入目標掃描路徑，由于ISPProtect是針對網站的掃描工具，所以你必須輸入網站的根目錄路徑，如/var/www，之后，Enter鍵執行。根據文件多少和數據大小來看，掃描可能會持續時間較長，最后，會給出一個最終檢測報告。

個人推薦可以把該工具設置成每小時自動掃描一次，以sudo nano命令編輯任務列表/etc/cron.d/ispprotect，并復制以下命令進入：

0 * * * * root /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=EMAIL --non-interactive --scan-key=KEY

以上命令中的EMAIL表示掃描報告發送地址，KEY表示掃描key。–update表示ISPProtect特征庫是適時更新的。

如果覺得每小時太過于頻繁，你可以在以上命令中進行以下修改：

0 1 * * * – every day at 1 AM

* */2 * * * – every other hour

* */3 * * * – every third hour

掃描最終結果會自動發送到EMAIL中提供的郵箱地址中去。