编辑“CentOS/入侵监测系统的构建”（章节）

==chkrootkit相关的系统命令的备份==
如前言所述，当chkrootkit使用的系统命令被入侵者更改后，chkrootkit对 rootkit的监测将失效。所以，我们事前将chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始命令，让chkrootkit对 rootkit进行检测。
<pre>root@sample ~]# mkdir /root/commands/　 ← 建立暂时容纳命令备份的目录

[root@sample ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings 
sed uname` /root/commands/ 
← （连续输入无换行）备份系统命令到建立好的目录 

[root@sample ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED　 
← 用备份的命令运行chkrootkit

[root@sample ~]# tar cvf /root/commands.tar /root/commands/　← 将命令打包

[root@sample ~]# gzip /root/commands.tar　 ← 将打包的文件压缩
然后将压缩后的commands.tar.gz用SCP软件下载到安全的地方

[root@sample ~]# rm -rf commands* 　 ← 为安全起见，删除服务器端备份的系统命令及相关文件</pre>

如果以后想通过备份的原始系统命令来运行chkrootkit的时候，只需用SCP[[软件]]将备份的命令打包压缩文件上传至服务器端已知位置并解压缩，然后运行在chkrootkit的时候指定相应的目录即可。例如，假设已经将备份上传至root用户目录的情况如下：
<pre>[root@sample ~]# tar zxvf /root/commands.tar.gz　 ← 解开压缩的命令备份

[root@sample ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED　
← 用备份的命令运行chkrootkit
</pre>
然后在运行后删除相应遗留文件即可。
说明	输入内容	输出结果
斜体	''斜体文字''	斜体文字
粗体	'''粗体文字'''	粗体文字
粗斜体	'''''粗斜体文字'''''	*粗斜体文字*