Linux 服务器被植入 rootkit

你的 Linux 服务器跑得不对劲？先查 rootkit

rootkit 是一种隐匿在系统底层、能隐藏自身进程和文件的后门程序。
普通杀毒软件很难发现它，但借助 rkhunter 和 chkrootkit 这两个轻量级工具，你可以用一条命令就完成初步扫描。
下面我会带着你从安装、运行到解读结果走一遍，哪怕你刚接触 Linux 也能跟着做完。

第一步：安装检测工具（Ubuntu / CentOS 都适用）

Ubuntu/Debian 系 执行：

sudo apt update
sudo apt install rkhunter chkrootkit -y

CentOS/RHEL 系 执行：

sudo yum install epel-release -y
sudo yum install rkhunter chkrootkit -y

如果你用的是宝塔面板，直接进“终端”粘贴上面的命令即可。
安装过程一般不会报错，若提示“没有可用包”，请先检查系统源是否正常（sudo apt update 或 sudo yum makecache）。

第二步：一键扫描 + 结果解读

安装完成后，先跑 rootkit 专用扫描器：

sudo rkhunter --check --skip-keypress

参数 --skip-keypress 可以跳过每次回车确认，适合无人值守扫描。
扫描过程会花 5-15 分钟，请耐心等待。

完成后看输出最后几行，重点关注：

• Warning / Suspicious 条目：如果出现 *“Warning: The following suspicious files have been found”*，需逐条确认。
• Rootkit checks 部分：如果显示 *“Not found”* 基本上安全。

再跑 chkrootkit：

sudo chkrootkit

它直接输出结果，
看到 *“INFECTED”* 或 *“Possible”* 就要提高警惕。常见误报：
很多合法的内核模块、
杀毒软件也会触发警告，
不要一看到警告就慌，
看完下一节的避坑说明再判断。

第三步：常见误报与避坑指南

1. 系统更新文件被改动：rkhunter 会对比文件哈希值，如果你升级过内核或补丁，会报 *“File properties changed”*，这是正常的，并非入侵。可以用 sudo rkhunter --propupd 更新哈希库。
2. /dev 目录异常：chkrootkit 有时将正常设备文件标记为可疑，需要你手动判断。可以用 ls -la /dev | head 查看，如果全是系统标准设备，忽略。
3. 禁止直接删除警告文件：在未确认前，不要把标记文件删掉——误删系统文件会导致服务器崩溃。正确的做法是先查看文件路径：ls -la /可疑路径，然后上网搜一下这个路径是不是已知 rootkit 特征。

第四步：如何验证扫描结果是否准确

• 二次交叉验证：用另一款工具扫描。例如 clamav 是开源杀毒，也可以用 sudo apt install clamav -y 安装后执行 sudo clamscan -r / 全盘扫描。
• 检查网络连接：运行 ss -tulpn 查看有没有可疑端口（比如不认识的 IP 或端口的监听）。
• 对比进程列表：ps auxf 看看有没有 [kworker] 之外的奇怪进程名。
• 检查 crontab：crontab -l 和 cat /etc/crontab 查看是否有未知定时任务。

如果以上三步都未发现异常，大概率只是误报。
若确认是 rootkit，建议立即断开公网访问，备份数据后重装系统。

常见问题 Q&A

Q: 扫描后服务器变卡怎么办？
A: 扫描本身占用 CPU 和磁盘 IO，建议在业务低谷期执行。如果卡死，按 Ctrl+C 终止，或分目录扫描（比如先扫描 /etc、/tmp）。

Q: 工具提示“command not found”
A: 表示安装失败或未加入 PATH。尝试重新安装，或直接使用绝对路径 /usr/bin/rkhunter。

Q: 宝塔面板有自带 rootkit 检测吗？
A: 宝塔没有内置，但可以通过“终端”功能执行上述命令。你也可以在“软件商店”安装“Linux 工具箱”插件，里面有简单的安全检测，不如命令行深入。

写在最后

Linux 服务器被植入 rootkit 虽然隐蔽，但通过 rkhunter 和 chkrootkit 的一键扫描，大部分已知 rootkit 都能被发现。记住最重要的一条：不要被警告吓住，也不要随意删除标记文件。
先更新哈希库、交叉验证、检查常见异常点，如果还有疑问，可以重装系统。
建议每周运行一次自动扫描（用 cron 定时 0 3 * * 0 root rkhunter --check --skip-keypress --quiet），把安全习惯变成肌肉记忆。