PROCURE POR ROOTKIT NO LINUX

PROCURE POR ROOTKIT NO LINUX

Pode parecer estranho, mas é possível que algum rookit esteja instalado em servidor Linux sem que o sysadmin possa imaginar. Há alguns relatos de que o Linux já foi invadido por crackers, para nos sentirmos mais seguro o " rkhunter" foi desenvolvido.

O rkhunter é responsável por procurar rootkit em seu sistema e no final do processo ele cria um log caso depois queira ver com maiores detalhes. Para instalar o rkhunter bastar digitar o “apt-get install rkhunter” ou usar o aptitude , a instalação é rápida. Antes de fazer a busca você precisa executar o seguinte procedimento para que o "rkhunter" funcione perfeitamente:

     # rkhunter –propupd (Atualiza a base com as propriedades dos arqivos.)

     # rkhunter –update (Atualiza a base do rkhunter.)

     # rkhunter -c (para fazer a busca)

** rkhunter --cronjob (para utilização em crontab)
** Para filtrar o resultado, é possível utilizar o comando "grep Warning /var/log/rkhunter.log"

Agora é só aguardar o resultado da busca. Os arquivos que apresentarem "WARNING" (em vermelho) estão comprometidos, os arquivos em cor verde "not found" e "ok" não apresentam risco. Por fim o "rkhunter" irá gerar um log em /var/log/rkhunter.log.

Maiores dúvidas: man rkhunter

Fonte:
http://corvolinopunk.wordpress.com/2008/06/07/procure-rootkit-em-seu-linux/
http://hercules-now.com/2011/08/04/procure-rootkit-em-seu-linux/