rkhunter : en test, recherche de malware sur linux

http://www.it-connect.fr/securisez-vos-systemes-linux-avec-rkhunter/

Site officiel : http://rkhunter.sourceforge.net/
le readme est à http://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/README

Configuration

Conf à /etc/rkhunter.conf
Pour avoir sa conf : sudo cp /etc/rkhunter.conf /etc/rkhunter.conf.local

La base de données des signatures de malware, des ports suspects, des versions de programmes obsolètes et vulnérables, etc. est dans /var/lib/rkhunter/db sous forme de fichiers .dat
Mettre à jour ces bd avec  rkhunter --update

 

RKhunter est configuré pour effectuer tous les test dont il est capables sauf :

  • suspscan
  • hidden_proces
  • deleted_files
  • pacjet_caps_apps
  • apps

Les tests activés et désactivés pouvant être gérés aux lignes 359 et 360 du fichier de configuration. rkhunter -C vérifie la conf.

software intrusions : sauté car tripwire not installed

Utilisation

Lancer la vérification avec sudo rkhunter -c  (apres avoir fait rkhunter --update  si l'on a pas configuré cron pour)
ou pour n'afficher que ce qui pose soucis : rkhunter -c --rwo

Les résultats sont à /var/log/rkhunter.log  (sudo cat /var/log/rkhunter.log)

 

installation

sudo apt-get update
sudo apt-get install rkhunter

installer aussi unhide

logo drush