7.2.1 Rootkit Hunter

Instalar o pacote rkhunter, um sistema de deteção de rootkits que avisa por email o administrador do sistema se detetar alterações no sistema que indiciem a presença de um rootkit.

root@server:~# aptitude install rkhunter

A configuração por omissão do rkhunter deve ser alterada de modo a definir que a actualização da base de dados é feita semanalmente, a verificação da existência de rootkits é feita diariamente, e os resultados são enviados por email para o administrador de sistema (root).

A alteração da configuração é feita no ficheiro /etc/default/rkhunter:

/etc/default/rkhunter

# Defaults for rkhunter automatic tasks
# sourced by /etc/cron.*/rkhunter and /etc/apt/apt.conf.d/90rkhunter
#
# This is a POSIX shell fragment
#

# Set this to yes to enable rkhunter daily runs
# (default: true)
CRON_DAILY_RUN="true"

# Set this to yes to enable rkhunter weekly database updates
# (default: true)
CRON_DB_UPDATE="true"

# [...]

A configuração deve ser verificada, para garantir que não há erros no ficheiro de configuração:

root@server:~# rkhunter --config-check
root@server:~#

Deverá também ser feita a primeira atualização da base de dados de propriedades de ficheiros do rkhunter:

root@server:~# rkhunter --propupd
[ Rootkit Hunter version 1.4.0 ]
File updated: searched for 169 files, found 132

Diariamente o administrador receberá um relatório com os resultados da análise efetuada pelo rkhunter:

Subject: [rkhunter] server.home.lan - Daily report
To: root@home.lan
Date: Tue,  1 Oct 2013 09:34:59 +0100 (WEST)
Warning: The file properties have changed:
         File: /usr/bin/perl
         Current hash: 6fc186ef1203d1b29642882a76b85e3b90d1923c
         Stored hash : 9ec80dca548637fe590f952c1a38449303cee2a1
         Current inode: 269622    Stored inode: 264165
         Current file modification time: 1380513809 (30-Sep-2013 05:03:29)
         Stored file modification time : 1365614106 (10-Apr-2013 18:15:06)

Este relatório alerta para alteração do ficheiro /usr/bin/perl, provavelmente devido a uma atualização do sistema.

O rkhunter também pode ser executado na linha de comandos:

root@server:~# rkhunter --check
[ Rootkit Hunter version 1.4.0 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/cron                                           [ OK ]
    /usr/sbin/groupadd                                       [ OK ]
    /usr/sbin/groupdel                                       [ OK ]
    /usr/sbin/groupmod                                       [ OK ]
    /usr/sbin/grpck                                          [ OK ]
    /usr/sbin/nologin                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/rsyslogd                                       [ OK ]
    /usr/sbin/tcpd                                           [ OK ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    /usr/sbin/usermod                                        [ OK ]
    /usr/sbin/vipw                                           [ OK ]

# [...]

System checks summary
=====================

File properties checks...
    Files checked: 132
    Suspect files: 1

Rootkit checks...
    Rootkits checked : 303
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 1 minute and 9 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

A base de dados do rkhunter é atualizada semanal e automaticamente. No entanto, é possível proceder à sua atualização sempre que se quiser:

root@server:~# rkhunter --update
[ Rootkit Hunter version 1.4.0 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]

• The Rootkit Hunter project