rkhunter – detection de rootkit sur linux debian

rkhunter

rkhunter est un programme permetant de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare les hash SHA-256, SHA-512, SHA1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d’une base de données en ligne (Wikipédia). Ce tutoriel, l’installation et les commandes de base.

INSTALLATION

Pour installer RKhunter, rien de plus simple, Par défaut, la configuration se situe dans le fichier /etc/rkhunter.conf.

# apt-get install rkhunter tripwire unhide libhttp-date-perl libcryptx-perl libdigest-sha-perl libencode-locale-perl libhttp-message-perl libio-html-perl liblwp-mediatypes-perl liburi-perl libfile-listing-perl libhtml-parser-perl libhtml-tagset-perl libhtml-tree-perl libhttp-cookies-perl libhttp-negotiate-perl libio-socket-ssl-perl liblwp-protocol-https-perl libnet-http-perl libnet-ssleay-perl libtry-tiny-perl libwww-perl libwww-robotrules-perl perl-openssl-defaults libdigest-whirlpool-perl

CONFIGURATION

Editer la configuration de rkhunter suivante :

Dans /etc/default/rkhunter :

# vi /etc/default/rkhunter
# Set this to the email address where reports and run output should be sent
REPORT_EMAIL="root"
# Set this to yes to enable rkhunter weekly database updates
CRON_DB_UPDATE="yes"
# Set this to yes to enable reports of weekly database updates
DB_UPDATE_EMAIL="no"
# Set this to yes to enable rkhunter daily runs
CRON_DAILY_RUN="yes"
# Nicenesses range from -20 (most favorable scheduling) to 19 (least favorable).
NICE="0"

et dans /etc/rkhunter.conf :

# vi /etc/rkhunter.conf

WEB_CMD=
UPDATE_MIRRORS=1
MIRRORS_MODE=0
DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps os_specific"
ALLOW_SSH_ROOT_USER=yes
SCRIPTWHITELIST=/usr/bin/unhide

UTILISATION

Vérifier que vous avez la dernière version :

# rkhunter --versioncheck
[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter version...
  This version  : 1.4.6
  Latest version: 1.4.6

Mettre à jour le programme :

rkhunter --update
[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ Updated ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ Skipped ]
  Checking file i18n/de                                      [ Skipped ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ Skipped ]
  Checking file i18n/tr.utf8                                 [ Skipped ]
  Checking file i18n/zh                                      [ Skipped ]
  Checking file i18n/zh.utf8                                 [ Skipped ]
  Checking file i18n/ja                                      [ Skipped ]

Lister les différents tests effectués :

# rkhunter --list

Effectuer une vérification :

# rkhunter --checkall --skip-keypress

Des fichiers peuvent être considérés comme suspects si la base de données n’est pas à jour, dans ce cas vous devez lancer :

# rkhunter --propupd