- Official Post
rkhunter (Rootkit Hunter) ist ein Linux-Werkzeug, welches nach Rootkits, Hintertüren und möglichen lokalen Exploits sucht. Dabei vergleicht es vorhandene Dateien anhand von MD5-hashes mit kompromittierten Dateien, sucht nach von Rootkits angelegten Ordnern, falschen Dateirechten, versteckten Dateien, verdächtigen Strings in Kernelmodulen und führt eine Reihe weiterer Tests durch.
rkhunter richtet sich dabei an professionelle Linux-Administratoren, wobei das Programm natürlich jeder benutzen kann. Um die Ausgabe verstehen zu können, bedarf es aber mindestens Grundkenntnissen der tieferen Schichten des Betriebssystems.
Installation & Konfiguration
Schritt 1.
Installation
sudo apt-get install rkhunter Schritt 2.
Bevor rkhunter verwendet werden kann, muss noch dessen Datenbank aufgebaut werden.
sudo rkhunter --propupd Schritt 3.
Jetzt kann man das komplette System mit folgendem Befehl scannen.
sudo rkhunter -c | Einige Parameter | |
|---|---|
| -c | kompletter System-Scan |
| --rwo | gibt nur Befunde aus ("report warnings only"); vermeidet überlange Ausgabe-Listen... |
| --display-logfile | zeigt eine Zusammenfassung des Scans am Ende |
| --skip-keypress | man muss zwischen den einzelnen Scan-Abschnitten nicht mehr Enter drücken |
| --propupd | führt ein Update der known-good Hash-Datenbank durch (nur bei der manuell installierten Version bzw. > 1.3 möglich ) |