Linux rootkit后门检测清除

如果你的Linux服务器突然出现异常流量、不明进程或者文件被莫名修改，很可能已经中了rootkit后门。
rootkit是一种隐秘的恶意软件，它能隐藏自己、逃避常规杀毒软件。
别慌，本文从零开始，带你一步步完成检测与清除，每个命令都可以直接复制执行。

动手前先准备好这些

你需要一台能正常联网的Linux服务器（CentOS 7/8、Ubuntu 20.04或Debian 11均可），并且拥有root权限或sudo权限。
建议先使用SSH客户端登录，打开一个干净的终端窗口。

在开始检测前，先用uptime和last看看系统是否近期被异常登录过，这有助于定位问题来源：

uptime
last -10

如果发现非预期的IP登录记录，先断开网络（临时禁用网卡或修改防火墙规则）再继续后续操作，避免恶意进程继续活动。

安装并使用Chkrootkit扫描

Chkrootkit是最经典的rootkit检测工具，它通过比对系统命令和程序特征库来发现被修改的可执行文件。

在Debian/Ubuntu上安装：

sudo apt update && sudo apt install -y chkrootkit

在CentOS/RHEL上安装：

sudo yum install -y epel-release && sudo yum install -y chkrootkit

安装完成后直接运行扫描（过程可能需要几分钟）：

sudo chkrootkit

扫描结果会输出很多行。
重点关注带有INFECTED、WARNING或Suspicious字样的行。
例如：

• /usr/bin/ps 或 /bin/ls 被标记为INFECTED，说明这些系统命令已被替换。
• 出现Checking tcpd... INFECTED表示系统关键服务被后门化。

如果没发现任何感染，Chkrootkit会输出类似not infected的提示。
这时候别松懈，接着用Rkhunter做第二遍扫描。

再用Rkhunter深度检查

Rkhunter（Rootkit Hunter）能检测更多类型的rootkit，还能检查系统文件属性变化。

安装方式：

# Ubuntu/Debian
sudo apt install -y rkhunter

# CentOS/RHEL
sudo yum install -y epel-release && sudo yum install -y rkhunter

首次运行前先更新特征库：

sudo rkhunter --update

然后执行一次完整检测：

sudo rkhunter --check --skip-keypress

参数--skip-keypress会跳过每次暂停等待键盘输入，适合远程终端。
扫描结束后，查看日志文件获取详细报告：

sudo cat /var/log/rkhunter.log | grep -E "Warning|Infected|Vulnerable"

常见警告包括：

• Warning: The file properties have changed – 系统文件被修改过。
• Vulnerable: /usr/bin/ssh – SSH二进制文件存在已知漏洞。
• Infected: /etc/rc.d/init.d/... – 启动项被植入了可疑服务。

如果两个工具都报告了感染，大概率是中了rootkit。

排查误报与手动清除

Chkrootkit和Rkhunter有时也会误报，尤其是系统内核升级、自定义编译软件或使用了安全加固脚本后。
以下两种情况容易误报：

1. Chkrootkit报告/sbin/init或/bin/ps被感染 – 如果系统是Docker容器或开启了SELinux，可能因路径映射导致误判。你可以用ls -la /bin/ps检查文件大小和日期是否和正常安装包一致。
2. Rkhunter报Warning: The file properties have changed – 如果刚更新过软件包，这是正常现象。可通过rpm -Va（CentOS）或dpkg --verify（Debian）再次验证。

如果确认是真感染，不要直接删除被感染文件。
建议先隔离服务器（拔网线或systemctl stop network），然后：

• 使用lsof -i -P -n找出异常网络连接对应的进程PID。
• 用ls -la /proc//exe查看进程调用的可执行文件。
• 通过kill -9 杀掉进程，再用mv把可疑文件移到隔离目录（如/tmp/quarantine）。
• 最后用rkhunter --propupd更新Rkhunter的属性数据库，避免后续误报。

如果rootkit已经深入内核（Chkrootkit报Checking modules... INFECTED），建议直接重装系统，因为内核级的后门很难彻底清除。
你也可以尝试用Kaspersky Rescue Disk或ClamAV扫描，但成功率不高。

确认后门已清除

做完清除步骤后，重启服务器：

sudo reboot

等待重启完成，再次运行Chkrootkit和Rkhunter：

sudo chkrootkit
sudo rkhunter --check --skip-keypress | grep -E "Warning|Infected|Vulnerable"

如果没有新的告警，说明后门已清除。
再检查一下系统日志：

sudo journalctl -xe | grep -i "error|fail|malware"

同时用netstat -tulnp看看监听端口是否还有异常。
确保所有可疑服务已被禁用：

systemctl list-units --type=service --state=running | grep -v "@" | grep -i "suspicious_name"

如果你正在处理Linux rootkit后门检测清除，建议先按本文步骤完整执行，再根据自己的环境做微调；
遇到异常时优先回看避坑和高频问题部分。
定期每周运行一次Chkrootkit和Rkhunter，配合稳定的防火墙和SSH密钥登录，才能最大程度避免再次被入侵。