Rok temu opisywałem program clamav, otwarty i darmowy program antywirusowy na linuxa, który swoją popularność zyskał zwłaszcza wśród dostawców usług internetowych, którzy skanują pocztę clamav’em 🙂 Dzisiaj chciałbym zaznaczyć istnienie kolejnego popularnego programu jakim jest RKhunter, który służy do wykrywania zainstalowanych rootkitów w linuxowych dystrybucjach. Należy skończyć z myśleniem o linuxie jako niezdobytym bastionie dla wszelakiej maści wirusów, rootkitów.
To, że jest ich mniej nie oznacza, że ich nie ma. Linux nie zwalnia użytkownika od myślenia i aktualizowania swojego systemu 🙂 Warto od czasu do czasu zapobiegawczo przeskanować procesy i binaria.
RKhunter powinien być dostępny we wszystkich dystrybucjach i głównych repozytoriach i instaluje się go jak każdy inny program: sudo apt install rkhunter/sudo pacman -S rkunter/sudo zypper in rkhunter/sudo dnf install rkhunter/etc…
Po instalacji należy zaktualizować bazę rkhuntera
sudo rkhunter --update
Wprowadzamy do bazy ustawienia naszego systemu (baseline właściwości najważniejszych plików), który w przypadku zmiany zostaną zasygnalizowane przez rkhunter’a
sudo rkhunter --propupd
Zaczynamy skanowanie, po każdej sekcji wciskamy enter
sudo rkhunter -c --enable all --disable none
Pozostaje najważniejsza sprawa, czyli przeanalizowanie pliku /var/log/rkhunter.log i zbadanie komunikatów Warning oraz Found. W zależności od dystrybucji mogą istnieć pewnie rozbieżności w konfiguracji i rodzaju pakietów.
Natomiast jeśli faktycznie potwierdzimy istnienie rootkita na naszym systemie to zalecałbym zrobienie rachunku sumienia jak do tego dopuściliśmy (podejrzane repozytoria, nieznane skrypty/komendy puszczane z roota?), następnie instalacja systemu od zera (nie wiadomo co jeszcze mogło przedostać się do systemu…). Dwa razy również zastanowiłbym się zanim przekopiowałbym coś ze starej konfiguracji.