Chkrootkit — сканер руткитов

Chkrootkit — это классический сканер руткитов с открытым исходным кодом, хороший инструмент для обнаружения присутствующих в системе руткитов, Это свободная утилита с открытым исходным кодом, доступная во множестве дистрибутивов. Разработчики сканера, поддерживают его в актуальном состоянии.

И так, установите пакет:

apt-get install chkrootkit

Для установки в ручном режиме, скачайте файлы с www.chkrootkit.org:

wget —passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense

Вы можете переместить каталог chkrootkit куда угодно.

Я перенесу его в /usr/local/chkrootkit

cd ..
mv chkrootkit-/ /usr/local/chkrootkit

Для быстрого доступа, создайте символическую ссылку:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Чтобы запустить проверку, выполните команду:

chkrootkit

Возможны ложные срабатывания:

Checking `bindshell\’…                                     INFECTED (PORTS:  465)

Не волнуйтесь, 465 порт занят SMTPS (Secure SMTP) — почтовым сервером, поэтому срабатывание на него может быть ложным.

Для автоматизации сканирования, вы можете запускать chkrootkit с помощью cron. Вы будете получать отчет на почту.

  1. Выясните путь, где установлен chkrootkit:

which chkrootkit

Пример:

root@server1:/tmp/chkrootkit-0.50# which chkrootkit
/usr/sbin/chkrootkit

У меня Chkrootkit установлен в /usr/sbin/chkrootkit, для того что бы создать задание в cron, нам нужен этот путь:

Выполните:

crontab -e

Пример задания в cron:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.com)

Ура, chkrootkit будет стартовать каждый сутки в 3 часа утра. Не забудьте замените путь к chkrootkit  и изменить адрес почты на ваш.

Добра!