você está aqui: Home  → Arquivo de Mensagens

rkhunter - The Rootkit Hunter project

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 30 de janeiro de 2017

rkhunter (Rootkit Hunter) é uma ferramenta para sistemas *nix que verifica o sistema em busca de rootkits, backdoors e possíveis brechas locais. Isto é feito comparando SHA-1 hashes de arquivos importantes comparativamente aos arquivos originais em bancos de dados online. O aplicativo vasculha arquivos normalmente usados pelos rootkits, permissões incorretas, arquivos escondidos, strings suspeitas em módulos do kernel e conduz testes especiais para sistemas FreeBSD e GNU/Linux.

A ferramenta é escrita na linguagem Bourne shell, para permitir sua portabilidade para o maior número de sistemas. Pode rodar em praticamente todos sistemas Unix e derivados.

Eu executei um teste em meu computador. São geradas centenas de linhas, detalhando tudo que está sendo verificado.

O relatório final gerado em meu computador foi o seguinte:

System checks summary
=====================

File properties checks...
    Files checked: 143
    Suspect files: 1

Rootkit checks...
    Rootkits checked : 365
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 59 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
``` 
No geral, o meu sistema está livre dos rootkits mais comuns, porém foram emitidos alguns alertas.
Verificando o arquivo ``/var/log/rkhunter.log`` encontrei os pontos identificados pelo programa:

``` 
[19:04:27] Info: Starting test name 'filesystem'
[19:04:27] Performing filesystem checks
[19:04:27] Info: SCAN_MODE_DEV set to 'THOROUGH'
[19:04:28]   Checking /dev for suspicious file types         [ Warning ]
[19:04:28] Warning: Suspicious file types found in /dev:
[19:04:28]          /dev/shm/pulse-shm-323004351: data
[19:04:28]          /dev/shm/pulse-shm-1972971378: data
[19:04:28]          /dev/shm/pulse-shm-3608098621: data
[19:04:28]          /dev/shm/pulse-shm-576813047: data
[19:04:28]          /dev/shm/pulse-shm-1186988468: data
[19:04:28]          /dev/shm/pulse-shm-2721717897: data
[19:04:28]          /dev/shm/pulse-shm-546726203: data
[19:04:28]          /dev/shm/pulse-shm-2427374552: data
[19:04:28]   Checking for hidden files and directories       [ Warning ]
[19:04:28] Warning: Hidden directory found: /etc/.java
[19:04:28] Warning: Hidden file found: /etc/.hosts.swp: Vim swap file, version 7.4
[19:04:28]   Checking for missing log files                  [ Skipped ]
[19:04:28]   Checking for empty log files                    [ Skipped ]
[19:04:42]
[19:04:42] Info: Test 'apps' disabled at users request.

Investigando os pontos identificados, não descobri nada suspeito, basicamente arquivos vazios e um arquivo swap usado pelo vim quando um arquivo é editado.

Para instalar em sistemas Debian GNU/Linux e derivados, digite:

$  sudo apt-get install rkhunter

O programa rkhunter pode ser executado com um grande número de opções. No exemplo acima, eu utilizei apenas a diretiva --check.

$  sudo rkhunter --check

A segurança computacional não é uma tarefa simples. Na página do projeto recomenda-se a leitura de diversos outros documentos complementares:



Veja a relação completa dos artigos de Rubens Queiroz de Almeida