Anti rootkit para Linux
Sin duda contra rootkits en Linux los dos más conocidos son rkhunter y chkrootkit, y yo me decanto siempre por el primero.
Instalación y setup inicial
Instalamos el paquete:
aptitude install rkhunter
Base de datos de archivos del sistema
Hacemos un:
rkhunter --propupd
Para indexar los archivos del sistema. Deberemos hacerlo al instalar nuevos paquetes o actualizar existentes.
Base de firmas
Hacemos un update de las firmar:
rkhunter --update
Escanear bajo demanda
Podemos lanzar una ejecución bajo demanda así:
rkhunter -c --enable all --disable none --rwo
Con –rwo -> –report-warnings-only: sólo mostrará los warning (útil cuando lo ejecutamos vía cron).
Otra opción interesante es -q, –quiet que no produce ninguna salida.
También tenemos –cronjob deshabilita las opciones interactivas.
Por último comentar que la opción –appendlog permite que el log, en lugar de ser sustituido en cada ejecución, vaya creciendo.
Conviene personalizar estas variables del fichero de configuración /etc/rkhunter.conf, sobre todo el email:
nano /etc/rkhunter.conf
MAIL-ON-WARNING=”your_user@domain.com” MAIL_CMD=mail -s “[rkhunter] Warnings found for ${HOST_NAME}” ALLOW_SSH_ROOT_USER=yes
Programar un escaneado
Pero lo ideal es programar una tarea cron y despreocuparnos.
crontab -e
Añadimos una linea al final como esta para ejecutarlo a las 4 a.m.:
00 04 * * * /usr/bin/rkhunter -c --report-warnings-only --update --cronjob --quiet
Si nos asusta cada vez que recibimos un email diciendo “” con el asunto “Warnings found for server” podemos hacer en la tarea cron que nos envíe un email con la salida mínima que produce el comando, para saber si preocuparnos:
00 04 * * * /usr/bin/rkhunter --update -c --report-warnings-only --cronjob | mail -s "Rkhunter" jblancov@gmail.com
He quitado –quiet.
Y esto es todo, hasta la próxima. Espero que os haya resultado interesante.