Hoje, vamos aprender como usar o RKhunter, que é um programa para a detecção de rootkits backdoors, sniffers e exploits e outros. O rkhunter também faz a verificações para ver se os comandos foram modificados, se o sistema de inicialização de arquivos foi alterado e teste na interface de rede.
Para instalar o
rkhunter, abra o terminal e digite:
sudo apt-get install rkhunter
Antes
de executar o rkhunter é preciso atualizar a base de dados dele, com as
propriedades dos arquivos, pois, o rkhunter faz a comparação das propriedades
dos arquivos atuais com aqueles que foram armazenados. Para isso, executamos o
seguinte comando:
sudo rkhunter --propupd
Isso tem que ser feito toda fez que instalar algum programa ou atualizar o sistema,
caso você não faça isso vai ter resultados ” falsos positivos”. Mas você pode
fazer com que o rkhunter executar automaticamente essa tarefa, basta adicionar
esse comando APT_AUTOGEN
= “yes” no diretório / etc / default / rkhunter.
Agora
temos que atualizar o banco de dados do rkhunter, com esse comando:
sudo rkhunter --update
Você
também pode verificar se tem alguma versão mais nova do rkhunter disponível,
com esse comando:
sudo rkhunter --versioncheck
Feito
isso, vamos fazer a verificação no sistema, usando esse comando:
sudo rkhunter -c
É
bem simples de entender os resultados gerados pelo rkhunter, quando estiver
tudo certo com os arquivos, será exibido um OK, Not found ou None found na cor
verde, caso ele encontre alguma irregularidade será exibido Warning na cor
vermelha.
É
comum na execução do rkhunter apareça algumas advertências, como arquivos
ocultos em:
/dev/.static
/dev/.udev
/dev/.initramfs
Não
tem o que se preocupar, esses diretórios são “falsos positivos”, não traz
nenhuma ameaça para o seu sistema, você pode ler sobre esse diretório aqui. Mas quando
aparecer alguma advertência é bom sempre verificar o que se tratar
Até a opróxima !!!
Nenhum comentário:
Postar um comentário