yishan.io
Toggle Dark/Light/Auto mode Toggle Dark/Light/Auto mode Toggle Dark/Light/Auto mode Back to homepage

Rkhunter

Rkhunter

rkhunter (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits.

Pour cela, il compare les hash SHA-256, SHA-512, SHA1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d’une base de données en ligne.

Ainsi, il peut détecter les répertoires généralement utilisés par les rootkits, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à Linux et FreeBSD.

Installation

apt-get install rkhunter
create mode 100644 apt/apt.conf.d/90rkhunter
create mode 100755 cron.daily/rkhunter
create mode 100755 cron.weekly/rkhunter
create mode 100644 default/rkhunter
create mode 100644 logrotate.d/rkhunter
create mode 100644 rkhunter.conf

Fichier de conf

/etc/rkhunter.conf

MAIL-ON-WARNING=security@yishan.io
UPDATE_MIRRORS=1
MIRRORS_MODE=0
WEB_CMD=""
CRON_DAILY_RUN="yes" 
ALLOWHIDDENDIR="/dev/.udev"
ALLOWHIDDENDIR="/dev/.static"
ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"
PKGMGR=DPKG

Cf Version

sudo rkhunter --versioncheck
update
sudo rkhunter --update

lister les tests effectués

sudo rkhunter --list

effectuer une vérification

sudo rkhunter --checkall

Vérification avec juste les alertes importantes

sudo rkhunter -c --rwo 

Des fichiers peuvent être considérés comme suspects si la base de données n’est pas à jour. Notamment : /usr/sbin/unhide /usr/sbin/unhide-linux26 qui peuvent déclencher un warning

Dans ce cas lancez :

sudo rkhunter --propupd