Guida rkhunter e chkrootkit: come scoprire se si ha rootkit, backdoor e malware sul proprio Linux

Conti

Helper
22 Febbraio 2022
475
42
353
350
Ultima modifica:
Rkhunter e chkrootkit è un tool per sistemi unix che va alla ricerca di possibili rootkit, backdoor, malware e altro, ad oggi l'ultima versione rilasciata e là 1.4.6
Innanzitutto iniziamo col dire che cosè un rootkit:

Il rootkit è una collezione di software, tipicamente malevoli, realizzati per ottenere l'accesso a un computer, o a una parte di esso, che non sarebbe altrimenti possibile (per esempio da parte di un utente non autorizzato a effettuare l'autenticazione). Questi software, oltre a garantire tali accessi, si preoccupano di mascherare se stessi o altri programmi utili per raggiungere lo scopo. Il termine inglese "rootkit" deriva dalla concatenazione di due termini: "root", che indica, tradizionalmente, l'utente con i maggiori permessi nei sistemi simil-Unix, e "kit", che si riferisce al software che implementa lo strumento. Il termine "rootkit" assume spesso una connotazione negativa, perché generalmente associato a un malware[1]. wikipedia​

Per installare scriviamo:
Bash:
apt install rkhunter -y
apt install chkrootkit -y
Prima di far partire la scansione con rk aggiorniamo il database, "rkhunter --propupd"
Ora scansioniamo il sistema con rkhunter, scrivere "rkhunter --check":
Screenshot from 2022-07-13 15-14-34.png
Screenshot from 2022-07-13 15-21-20.png
Il tutto verrà salvato nel file log in /var/log/rkhunter.log
Se anche voi esce questo avviso:
Bash:
    /usr/bin/lwp-request                                     [ Warning ]
È uno script perl che serve a fare richieste HTTP ai server web, per non far più uscire la scritta [ Warning ] creiamo il file "etc/rkhunter.conf.local" e scriviamo al suo interno "PKGMGR=DPKG", ora dovrebbe uscire la scritta:
Bash:
    /usr/bin/lwp-request                                     [ OK ]
Procediamo ora con la scansione con chkrootkit, scriviamolo nella shell e aspettiamo che finisca:
chkrootkit.png
Anche questo verificherà la presenza di rootkit e altro nel sistema.
Ovviamente se volete può informazioni consultate le pagine Man di entrambi i tool. ricordo che non sono degli antivirus, non tolgono i rootkit/malware, semplicemente li individuano, tocca a te capire cosa fare dopo (formatta).

./ghost
 
  • Mi piace
Reazioni: glv25