Rootkit Hunter is een programma dat de bestanden op het systeem controleert op aanwezigheid van rootkits, achterdeurtjes of mogelijke andere problemen. Het controleert de bestanden door te vergelijken met een online database. Hieronder de basis commando’s
Installatie
Het programma is te vinden op deze sourceforge website. Download het pakket, pak het uit en installeer via;
./install.sh --install
Of gebruik yum of apt om het te installeren als het aangeboden wordt door je distributie. Bij Debian en Ubuntu zit het erbij.
Update vervolgens de database met;
rkhunter --propupd
Controleer het systeem
Draai onderstaand commando om het systeem te checken;
rkhunter --check
Eenvoudiger is het om in een keer onderstaand commando uit te voeren:
rkhunter --propupd --check --sk
| –propupd | Property update | update de dabtase |
| –check | Check | controleer het systeem |
| –sk | Skip Key | sla toetsaanslag over |
Log file
Controleer de log file na de check.
/var/log/rkhunter.log
Het bestand adduser blijkt aangepast…
Uit de logfile blijkt dat RKHunter denkt dat adduser aangepast is. Dit komt omdat hij met een bepaalde berekening het bestand controleert met het bestand in de database. Dat matcht niet. Het kan zijn dat de juiste packagemanager gekozen moet worden om de juiste gegevens in de database te krijgen.
rkhunter --propupd --pkgmgr DPKG
Mogelijk packagemanagers zijn: RPM, DPKG, BSD, SOLARIS. Standaard staat er geen (NONE) ingesteld. Dit kun je ook instellen in het configuratiebestand;
/etc/rkhunter.conf
Zie ook deze Handige Linux Security Tools.