rkhunter – скрипт, предназначенный для командной оболочки (таких как bash и т.д.), который выполняет различные проверки на локальной системе для обнаружения известных ему rootkits и malware.

Он также проводит проверки и выявление изменений в установленных программах, в системных файлах запуска и различные проверки для приложений, которые “слушают” на сетевых интерфейсах сервера. По сути – антишпион (антивирус – как будет угодно) для Linux.

Установка:
keiz@ekz:~$ sudo apt-get install rkhunter

keiz@ekz:~$ rkhunter -V
Rootkit Hunter 1.3.6

keiz@ekz:~$ whereis rkhunter
rkhunter: /usr/bin/rkhunter /etc/rkhunter.conf /usr/share/rkhunter /usr/share/man/man8/rkhunter.8.gz

Настройка rkhunter
Для начала зайдем в конфигурационный файл и впишем наш почтовый адрес, чтобы варнинги отправлялись на почту. То есть исправьте строку MAIL-ON-WARNING=”root” в файле
/etc/rkhunter.conf. Вместо root укажите свой адрес.
 keiz@ekz:~$ sudo nano /etc/rkhunter.conf
MAIL-ON-WARNING="ваш_почтовый_адрес"

Далее, нужно сделать “слепок” того, что есть сейчас. Это делается буквально с помощью команды:

keiz@ekz:~$ rkhunter --propupd
You must be the root user to run this program.

Запустит от имени суперпользователя
keiz@ekz:~$ sudo rkhunter --propupd
[ Rootkit Hunter version 1.3.6 ]
File updated: searched for 162 files, found 134

Далее давайте обновим базу:

keiz@ekz:~$ sudo rkhunter --update
[ Rootkit Hunter version 1.3.6 ]

Checking rkhunter data files…
Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                      [ No update ]
Checking file backdoorports.dat                      [ No update ]
  Checking file suspscan.dat                             [ No update ]
Checking file i18n/cn                                       [ No update ]
  Checking file i18n/de                                       [ No update ]
  Checking file i18n/en                                       [ No update ]
Checking file i18n/zh                                       [ No update ]
Checking file i18n/zh.utf8                                [ No update ]

Проверка с помощью rkhunter
Придется немного посидеть перед монитором, т.к. система несколько раз предложит нажать ENTER. При этом можно будет сразу обратить внимание на варнинги (ошибки)
keiz@ekz:~$ sudo rkhunter -c --update --noappend-log --vl
[ Rootkit Hunter version 1.3.6 ]

Лог проверки с помощью rkhunter.
по окончании будет выведена краткая информация:
The system checks took: 5 minutes and 13 seconds
All results have been written to the log file (/var/log/rkhunter.log)
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Добавим задание в cron:
#Сканировать систему раз в сутки в 21.00
 0 21 * * * /usr/bin/rkhunter --update; /usr/lib/rkhunter -c --createlogfile --cronjob
Сначала будет проходить обновление, потом – проверка.

От ekzorchik

Всем хорошего дня, меня зовут Александр. Я под ником - ekzorchik, являюсь автором всех написанных, разобранных заметок. Большинство вещей с которыми мне приходиться разбираться, как на работе, так и дома выложены на моем блоге в виде пошаговых инструкции. По сути блог - это шпаргалка онлайн. Каждая новая работа где мне случалось работать вносила новые знания и нюансы работы и соответственно я расписываю как сделать/решить ту или иную задачу. Это очень помогает. Когда сам разбираешь задачу, стараешься ее приподнести в виде структурированной заметки чтобы было все наглядно и просто, то процесс усвоения идет в гору. Также прошу на https://win.ekzorchik.ru https://lin.ekzorchik.ru https://net.ekzorchik.ru https://voip.ekzorchik.ru https;//home.ekzorchik.ru