chkrootkit

Met dit programma kun je lokaal op de server controleren of er tekenen zijn van een rootkit.

Installeren

apt install chkrootkit

Starten

chkrootkit

De output komt gelijk op het scherm en niet in een log file.

Controle

chkrootkit | grep INFECTED

Bovenstaand commando laat alleen de INFECTED regels zien. Dus dan zie je gelijk wat er mis is.

Bovenstaand laat zien dat er iets gehijackt lijkt. Poort 465 is de smtps poort. Dit is een false-positive. Postfix (de mailserver) heeft deze in gebruik.

Zie ook deze Handige Linux Security Tools.

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.