Rkhunter

  security, sysadmin

rkhunter (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits.

Pour cela, il compare les hash SHA-256, SHA-512, SHA1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d’une base de données en ligne.

Ainsi, il peut détecter les répertoires généralement utilisés par les rootkits, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à Linux et FreeBSD.

apt-get install rkhunter

 create mode 100644 apt/apt.conf.d/90rkhunter

 create mode 100755 cron.daily/rkhunter

 create mode 100755 cron.weekly/rkhunter

 create mode 100644 default/rkhunter

 create mode 100644 logrotate.d/rkhunter

 create mode 100644 rkhunter.conf
Fichier de conf’ : /etc/rkhunter.conf
MAIL-ON-WARNING=security@yishan.io

UPDATE_MIRRORS=1

MIRRORS_MODE=0

WEB_CMD=""

CRON_DAILY_RUN="yes" 

ALLOWHIDDENDIR="/dev/.udev"

ALLOWHIDDENDIR="/dev/.static"

ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"

PKGMGR=DPKG


Cf Version
sudo rkhunter --versioncheck
update
sudo rkhunter --update
lister les tests effectués
sudo rkhunter --list
effectuer une vérification
sudo rkhunter --checkall
Vérification avec juste les alertes importantes : 
sudo rkhunter -c --rwo 
Des fichiers peuvent être considérés comme suspects si la base de données n’est pas à jour.
Notamment :
/usr/sbin/unhide
/usr/sbin/unhide-linux26
qui peuvent déclencher un [ Warning ]
Dans ce cas lancez :
sudo rkhunter --propupd