Сканируем Linux на руткиты с помощью rkhunter

[Voodley]

Руткиты (rootkit) — это вредоносные программы, созданные для получения доступа уровня рута, при этом они прячут своё присутствие от антивирусных программ. Обычно руткиты устнавливаются на вашу систему троянами, содержащимися вместе с загруженными файлами, через известные системные уязвимости, подозрительными приложениями к письмам, при веб-сёрфинге или просто после взлома пароля.

Для Linux есть несколько инструментов сканирования руткитов, которые помогают противостоять известным или потенциальным руткитам. Один из таких инструментов выявления руткитов называется Rootkit Hunter. Здесь я опишу, как сканировать системы Linux на наличие руткитов с помощью rkhunter.
Установка rkhunter на Linux
Для установки rkhunter на Debian, Ubuntu или Linux Mint:
apt-get install rkhunter

Выполняем поиск руткитов на Linux
Для выполнения сканирования на руткиты на вашей системе просто запустите следующее:
rkhunter -c
Когда rkhunter установлена, она может выполнить серию тестов, таких как:

• Сравнение SHA-1 хешей системных исполнимых файлов с известными хорошими значениями, содержащимися в базе данных.
• Проверка на известные файлы и каталоги руткитов, а также строки руткитов.
• Выявление зловредного кода, включая проверку на логирование бэкдоров, лог-файлов сниферов и других подозрительных директорий.
• Выполнение специфичных для троянов проверок, таких как анализ включённых сервисов xinetd.
• Проводится проверка сетевых портов и интерфейсов.
• Проводится проверка системного бута.
• Проводится проверка групп и аккаунтов.
• Проводится проверка системных конфигурационных файлов.
• Проводится проверка файловой системы.

Когда сканирование завершено, rkhunter сохраняет результат в /var/log/rkhunter.log. Вы можете отобразить выданные предупреждения следующим образом:
Warning/var/log/rkhunter.log

Спасибо за внимание.Удачи