De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Colaboração: Rubens Queiroz de Almeida
Data de Publicação: 30 de janeiro de 2017
rkhunter (Rootkit Hunter) é uma ferramenta para sistemas *nix que verifica o sistema em busca de rootkits, backdoors e possíveis brechas locais. Isto é feito comparando SHA-1 hashes de arquivos importantes comparativamente aos arquivos originais em bancos de dados online. O aplicativo vasculha arquivos normalmente usados pelos rootkits, permissões incorretas, arquivos escondidos, strings suspeitas em módulos do kernel e conduz testes especiais para sistemas FreeBSD e GNU/Linux.
A ferramenta é escrita na linguagem Bourne shell, para permitir sua portabilidade para o maior número de sistemas. Pode rodar em praticamente todos sistemas Unix e derivados.
Eu executei um teste em meu computador. São geradas centenas de linhas, detalhando tudo que está sendo verificado.
O relatório final gerado em meu computador foi o seguinte:
System checks summary
=====================
File properties checks...
Files checked: 143
Suspect files: 1
Rootkit checks...
Rootkits checked : 365
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 59 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
```
No geral, o meu sistema está livre dos rootkits mais comuns, porém foram emitidos alguns alertas.
Verificando o arquivo ``/var/log/rkhunter.log`` encontrei os pontos identificados pelo programa:
```
[19:04:27] Info: Starting test name 'filesystem'
[19:04:27] Performing filesystem checks
[19:04:27] Info: SCAN_MODE_DEV set to 'THOROUGH'
[19:04:28] Checking /dev for suspicious file types [ Warning ]
[19:04:28] Warning: Suspicious file types found in /dev:
[19:04:28] /dev/shm/pulse-shm-323004351: data
[19:04:28] /dev/shm/pulse-shm-1972971378: data
[19:04:28] /dev/shm/pulse-shm-3608098621: data
[19:04:28] /dev/shm/pulse-shm-576813047: data
[19:04:28] /dev/shm/pulse-shm-1186988468: data
[19:04:28] /dev/shm/pulse-shm-2721717897: data
[19:04:28] /dev/shm/pulse-shm-546726203: data
[19:04:28] /dev/shm/pulse-shm-2427374552: data
[19:04:28] Checking for hidden files and directories [ Warning ]
[19:04:28] Warning: Hidden directory found: /etc/.java
[19:04:28] Warning: Hidden file found: /etc/.hosts.swp: Vim swap file, version 7.4
[19:04:28] Checking for missing log files [ Skipped ]
[19:04:28] Checking for empty log files [ Skipped ]
[19:04:42]
[19:04:42] Info: Test 'apps' disabled at users request.
Investigando os pontos identificados, não descobri nada suspeito, basicamente
arquivos vazios e um arquivo swap usado pelo vim quando um arquivo é editado.
Para instalar em sistemas Debian GNU/Linux e derivados, digite:
$ sudo apt-get install rkhunter
O programa rkhunter pode ser executado com um grande número de opções.
No exemplo acima, eu utilizei apenas a diretiva --check.
$ sudo rkhunter --check
A segurança computacional não é uma tarefa simples. Na página do projeto recomenda-se a leitura de diversos outros documentos complementares: