você está aqui: Home  → Arquivo de Mensagens

rkhunter - The Rootkit Hunter project

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 30 de janeiro de 2017

rkhunter (Rootkit Hunter) é uma ferramenta para sistemas *nix que verifica o sistema em busca de rootkits, backdoors e possíveis brechas locais. Isto é feito comparando SHA-1 hashes de arquivos importantes comparativamente aos arquivos originais em bancos de dados online. O aplicativo vasculha arquivos normalmente usados pelos rootkits, permissões incorretas, arquivos escondidos, strings suspeitas em módulos do kernel e conduz testes especiais para sistemas FreeBSD e GNU/Linux.

A ferramenta é escrita na linguagem Bourne shell, para permitir sua portabilidade para o maior número de sistemas. Pode rodar em praticamente todos sistemas Unix e derivados.

Eu executei um teste em meu computador. São geradas centenas de linhas, detalhando tudo que está sendo verificado.

O relatório final gerado em meu computador foi o seguinte:

  System checks summary
  =====================
  
  File properties checks...
      Files checked: 143
      Suspect files: 1
  
  Rootkit checks...
      Rootkits checked : 365
      Possible rootkits: 0
  
  Applications checks...
      All checks skipped
  
  The system checks took: 59 seconds
  
  All results have been written to the log file: /var/log/rkhunter.log
  
  One or more warnings have been found while checking the system.
  Please check the log file (/var/log/rkhunter.log)

No geral, o meu sistema está livre dos rootkits mais comuns, porém foram emitidos alguns alertas. Verificando o arquivo /var/log/rkhunter.log encontrei os pontos identificados pelo programa:

  [19:04:27] Info: Starting test name 'filesystem'
  [19:04:27] Performing filesystem checks
  [19:04:27] Info: SCAN_MODE_DEV set to 'THOROUGH'
  [19:04:28]   Checking /dev for suspicious file types         [ Warning ]
  [19:04:28] Warning: Suspicious file types found in /dev:
  [19:04:28]          /dev/shm/pulse-shm-323004351: data
  [19:04:28]          /dev/shm/pulse-shm-1972971378: data
  [19:04:28]          /dev/shm/pulse-shm-3608098621: data
  [19:04:28]          /dev/shm/pulse-shm-576813047: data
  [19:04:28]          /dev/shm/pulse-shm-1186988468: data
  [19:04:28]          /dev/shm/pulse-shm-2721717897: data
  [19:04:28]          /dev/shm/pulse-shm-546726203: data
  [19:04:28]          /dev/shm/pulse-shm-2427374552: data
  [19:04:28]   Checking for hidden files and directories       [ Warning ]
  [19:04:28] Warning: Hidden directory found: /etc/.java
  [19:04:28] Warning: Hidden file found: /etc/.hosts.swp: Vim swap file, version 7.4
  [19:04:28]   Checking for missing log files                  [ Skipped ]
  [19:04:28]   Checking for empty log files                    [ Skipped ]
  [19:04:42]
  [19:04:42] Info: Test 'apps' disabled at users request.

Investigando os pontos identificados, não descobri nada suspeito, basicamente arquivos vazios e um arquivo swap usado pelo vim quando um arquivo é editado.

Para instalar em sistemas Debian GNU/Linux e derivados, digite:

  sudo apt-get install rkhunter

O programa rkhunter pode ser executado com um grande número de opções. No exemplo acima, eu utilizei apenas a diretiva --check.

  sudo rkhunter --check

A segurança computacional não é uma tarefa simples. Na página do projeto recomenda-se a leitura de diversos outros documentos complementares:



 

 

Veja a relação completa dos artigos de Rubens Queiroz de Almeida

Opinião dos Leitores

luizlmarins
07 Jun 2017, 18:43
Uso assim:

sudo rkhunter -c --sk

o "c" faz a checagem.

o "--sk" é para pular as perguntas e fazer o exame sem interrupções, parando apenas quando terminar.
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script