7.2.1. Rootkit Hunter

Objectivo

Instalar o pacote rkhunter, um sistema de detecção de rootkits que avisa por email se detectar um rootkit.

Instalação

server:~# apt-get install rkhunter

Configuração

A configuração por omissão do pacote rkhunter é normalmente suficiente: o ficheiro /etc/default/rkhunter define que a actualização da base de dados é feita semanalmente, a verificação da existência de rootkits é feita diariamente, e os resultados são enviados por email para o administrador de sistema (root).

No entanto, o ficheiro /usr/share/doc/rkhunter/README.Debian adverte para alguns "falsos alarmes", associados a directorias escondidas, que poderão ocorrer numa instalação Debian. Esses falsos alarmes poderão ser eliminados, permitido essas directorias escondidas. Essa configuração é efectuada no ficheiro /etc/rkhunter.conf:

# [...]

# Allow hidden directory
# One directory per line (use multiple ALLOWHIDDENDIR lines)
#
ALLOWHIDDENDIR=/etc/.java
ALLOWHIDDENDIR=/dev/.udev
ALLOWHIDDENDIR=/dev/.udevdb
ALLOWHIDDENDIR=/dev/.udev.tdb
ALLOWHIDDENDIR=/dev/.static
ALLOWHIDDENDIR=/dev/.initramfs
ALLOWHIDDENDIR=/dev/.SRC-unix

# [...]

Utilização

O rkhunter pode ser executado na linha de comandos:

server:~# rkhunter --checkall

Rootkit Hunter 1.2.9 is running

Determining OS... Ready

Checking binaries
* Selftests
     Strings (command)                                        [ OK ]

* System tools
  Performing 'known bad' check...
   /bin/cat                                                   [ OK ]
   /bin/chmod                                                 [ OK ]
   /bin/chown                                                 [ OK ]
   /bin/date                                                  [ OK ]
   /bin/df                                                    [ OK ]
   /bin/dmesg                                                 [ OK ]
   /bin/echo                                                  [ OK ]
   /bin/ed                                                    [ OK ]
   /bin/egrep                                                 [ OK ]
   /bin/fgrep                                                 [ OK ]
   /bin/grep                                                  [ OK ]
   /bin/kill                                                  [ OK ]
   /bin/login                                                 [ OK ]
   /bin/ls                                                    [ OK ]

# [...]

---------------------------- Scan results ----------------------------

MD5 scan
Scanned files: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 0

Scanning took 21 seconds

-----------------------------------------------------------------------

Do you have some problems, undetected rootkits, false positives, ideas
or suggestions? Please e-mail us through the Rootkit Hunter mailinglist
at rkhunter-users@lists.sourceforge.net.

-----------------------------------------------------------------------

Actualização da base de dados

A base de dados do rkhunter é actualizada semanal e automaticamente. No entanto, é possível proceder à sua actualização sempre que se quiser:

server:~# rkhunter --update
Running updater...

Mirrorfile /var/lib/rkhunter/db/mirrors.dat rotated
Using mirror http://rkhunter.sourceforge.net
[DB] Mirror file                      : Up to date
[DB] MD5 hashes system binaries       : Up to date
[DB] Operating System information     : Up to date
[DB] MD5 blacklisted tools/binaries   : Up to date
[DB] Known good program versions      : Up to date
[DB] Known bad program versions       : Up to date

Ready.

Links relacionados

BlinkListblogmarksco.mmentsconnoteadel.icio.usdiggFarkfeedmelinksFurlLinkaGoGoMa.gnoliaNewsVineNetvouzRedditSimpySpurlWistsYahooMyWebFacebook

Comentários

Add a new comment
Page tags: rkhunter rootkit
Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License