Rkhunter (Rootkit Hunter) é um ferramenta open source para detecção de rootkits, backdoors e outras vulnerabilidades do sistemas, podendo verificar arquivos ocultos, permissões erradas em binários, inclusão linhas suspeitas no kernel, entre outras. Criado por Michael Boelen é mesmo desenvolvedor de outra ferramenta, o Lynis utilizado para auditoria de sistemas que também já mostrei aqui no blog.
Características
- Compara MD5 hash;
- Busca por arquivos comuns usados por rootkits;
- Busca por binários com permissões configuradas erradamente;
- Verifica linhas suspeitas no kernel (módulos LKM e KLD);
- Verifica arquivos ocultos;
Instalação
A instalação do Rkhunter no Debian/Ubuntu é simples bastando executar os comandos abaixo:
apt-get install hkunterVocê também pode baixar o fonte e instalar manualmente:
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
tar -xvf rkhunter-1.4.2.tar.gz
cd rkhunter-1.4.2
./installer.sh --layout default --installBuscando por rootkit
Vamos iniciar a verificação no sistema, mas primeiro, é importante atualizar o rkhunter e a base de dados de rootkit. Para isso, execute os comandos:
rkhunter --update
rkhunter --propupd
Agora sim. Com tudo atualizado, podemos verificar o sistema.
rkhunter -c --enable all --disable noneVeja abaixo um vídeo do rkhunter rodando.
