Mazarini

Outils pour utilisateurs

Outils du site

Piste : rkhunter
rkhunter

Ceci est une ancienne révision du document !

Table des matières

Détection des rootkits : rkhunter

Présentation

rkhunter permet de détecter la présence de rootkit et informe de la modification de certains fichiers du système.

Installation

apt-get install rkhunter

Utilisation

Lancement des tests

rkhunter --check

Cette commande est à lancer après une mise à jour, l'ajout d'un utilisateur ou celui d'un groupe. En cas de détection d'un problème correspondant à un de ces 3 cas, voir la commande “rkhunter –propupdate”.

Rafraîchissement de la base de contrôle

rkhunter --update

Validation des erreurs

rkhunter --propupdate

Cette commande permet d'enregistrer les modifications de fichiers suite à une mise à jour ou la présence d'un nouvel utilisateur.

Configuration

Destinataire de alertes : /etc/default/rkhunter

REPORT_EMAIL="root"
CRON_DAILY_RUN="true"
DB_UPDATE_EMAIL="true"
CRON_DB_UPDATE="true"

Remarque : les mails pour root sont redirigés vers une adresse mail (cf /etc/aliases).

Mail envoyé : /etc/rkhunter.conf

MAIL_CMD=mail -s "[rkhunter] Alerte pour ${HOST_NAME}"

Initialisation de la surveillance : /etc/rkhunter.conf

Le premier contrôle via la commande rkhunter –check peut détecter des “faux positifs”. Il s'agit de les faire disparaître puisque le serveur qui vient d'être installé n'a normalement pas de rootkit.

Commandes

rkhunter --update
[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ Updated ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ No update ]
  Checking file i18n/tr.utf8                                 [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]
rkhunter --propupdate
[ Rootkit Hunter version 1.4.2 ]
File updated: searched for 174 files, found 137
rkhunter --check
[ Rootkit Hunter version 1.4.2 ]
File updated: searched for 174 files, found 137

Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/lwp-request

Mettre la ligne en commentaire : 

# SCRIPTWHITELIST=/usr/bin/lwp-request

Autres configurations

Cron

Autres logiciels

  • Monit pour le monitoring de rkhunter

Traitement des alertes

Sources

rkhunter.1447239345.txt.gz · Dernière modification : 2023/07/04 10:55 (modification externe)