Scanner de rootkit é uma ferramenta de verificação para garantir que você está cerca de 99,9% limpo de ferramentas desagradáveis. Essa ferramenta verifica a existência de rootkits, backdoors e exploits locais, executando testes como:
- Compara MD5 Hash
- Procura por arquivos padrão utilizadas por rootkits
- Permissões de arquivo errada para binários
- Verifica strings suspeitas nos módulos LKM e KLD
- Procura por arquivos ocultos
- Scan opcional dentro arquivos de texto e arquivos binários
Segue abaixo os comandos para instalar o RkHunter
# cd /usr/local/src/
# wget http://hivelocity.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.0/rkhunter-1.4.0.tar.gz
# tar -xzvf rkhunter-1.4.0.tar.gz
# cd rkhunter-1.4.0
# ./installer.sh --install
# vi /etc/cron.daily/rkhunter.sh
Após instalar crie o arquivo no cron com o seguinte conteúdo:
#!/bin/bash
#
(/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Detalhes" email@dominio.com.br)
Altere o email “email@dominio.com.br” pelo email que receberá as notificações, após criar o arquivo será necessário conceder permissão para execução, faça isso com o comando abaixo:
# chmod +x /etc/cron.daily/rkhunter.sh
