Главная » Безопасность

Rkhunter — программа для отслеживания руткитов и вредоносного ПО.

Rootkit Hunter - простой и эффективный скрипт, предназначенный для командной оболочки (например, bash), который выполняет различные проверки на локальной системе для обнаружения известных ему rootkits и malware.

Он также проводит проверки и выявление изменений в установленных программах, в системных файлах запуска и различные проверки для приложений, которые “слушают” на сетевых интерфейсах сервера. Rkhunter - эффективный антивирус для Linux. Его стоит использовать в целях улучшения безопасности.


Как установить rkhunter на CentOS / Debian / ...

  • Для CentOS:
yum install rkhunter
  • Для Debian, Ubuntu, Linux Mint …
sudo apt-get install rkhunter

Как настроить и использовать rkhunter

В первую очередь настроим отправку предупреждений о выявленных проблемах на свой email. Откройте в текстовом редакторе файл /etc/rkhunter.conf , раскомментируйте строку MAIL-ON-WARNING и добавьте свой почтовый адрес.

Далее, нужно сделать «слепок» того, что есть сейчас:

rkhunter --propupd

Далее давайте обновим базу:

rkhunter --update

Проверка с помощью rkhunter

Итак, система настроена и обновлена, теперь давайте запустим проверку:

rkhunter -c --update --noappend-log --vl

Система несколько раз предложит нажать ENTER. При этом можно сразу обратить внимание на уведомления.


Добавление rkhunter в cron

Например, нам надо сканировать систему раз в сутки в 23.00. Зададим такую команду:

0 23 * * * /usr/bin/rkhunter --update; /usr/bin/rkhunter -c --createlogfile --cronjob

Сначала будет проходить обновление, потом - проверка. Будьте внимательны относительно пути к rkhunter! Данный пример приведен для CentOS 5.5.


Ошибки, выдаваемые rkhunter

При сканировании могут появиться ошибки, которых на самом деле нет. Например:

Checking if SSH root access is allowed [ Warning ]

Для решения в конфиге /etc/rkhunter.conf исправьте строку

ALLOW_SSH_ROOT_USER=no

на

ALLOW_SSH_ROOT_USER=yes

Checking for passwd file changes [ Warning ] или Checking for group file changes [ Warning ]

В данном случае вы, скорее всего, забыли сделать первоначальный «слепок» командой

rkhunter --propupd

Warning: Hidden directory found: /dev/.udev или /dev/.mdadm или /dev/.initramfs

Для решения в конфиге /etc/rkhunter.conf раскомментируйте строку с указанной папкой, к примеру:

ALLOWHIDDENDIR=/dev/.udev
ALLOWHIDDENDIR=/dev/.mdadm
ALLOWHIDDENDIR=/dev/.initramfs

Вместе с этим смотрят: