Профилактика Linux с помощью RootKit Hunter

Сервер необходимо периодически проверять на наличие различных угроз и заразы, которая могла поселиться в системе без вашего ведома. Для профилактики можно воспользоваться такой программой, как RootKit Hunter (rkhunter), которая выполняет различные проверки на локальной системе для попытки обнаружения известных rootkits и malware. RootKit Hunter также производит проверки и выявления изменений в установленных программах, в системных файлах запуска и различные проверки для приложений, которые “слушают” на сетевых интерфейсах сервера.

RootKit Hunter уже есть в стандартных репозиториях Debian, поэтому достаточно скомандовать:

apt-get install rkhunter

После установки необходимо обновить антивирусные базы и модули программы:

rkhunter --update

Теперь можно приступить к небольшой настройки RootKit Hunter, для этого нужно отредактировать файл конфигурации:

nano /etc/rkhunter.conf

К примеру, опция MAIL-ON-WARNING отвечает за отправку критических уведомлений на почту администратора после проверки системы. Опция ALLOW_SSH_ROOT_USER отвечает за разрешение/запрет напоминать во время проверки о том, что использовать рутовый логин для подключения к SSH крайне не рекомендуется.

Далее необходимо сделать "слепок" системы (первоначальная база данных свойств различных системных команд), для того, чтобы RootKit Hunter мог сравнивать  текущее состояние команд в системе с созданной базой:

rkhunter --propupd

Ну вот, собственно, и все. Осталось самое главное – проверить систему на наличие чего-то вредоносного. Скомандуем:

rkhunter --check

После этого на экран консоли будет выводится всякого рода информация со статусами либо "ОК", либо "Warning". Если "Warning" – то стоит обратить свое внимание на предупреждение и попытаться устранить его.

Если хочется, чтобы RootKit Hunter автоматически производил проверку системы, то необходимо добавить задание в крон, к примеру, следующего вида (раз в сутки в 23:00):

0 23 * * * /usr/bin/rkhunter --update; /usr/bin/rkhunter -c --createlogfile --cronjob

Лог-файл расположен по этому пути:

/var/log/rkhunter.log

Поиск руткитов в с помощью RootKit Hunter