De Wiki de la Comunidad Mandriva

Detectando rootkits

Rootkit Hunter es una herramienta que sirve para detectar si un rootkit ha sido instalado en tu sistema. Los rootkits son programas instalados por crackers para controlar remotamente sistemas pero pasando desapercibidos por los administradores legítimos de las máquinas infectadas.

Las versiones más recientes de rkhunter también ofrecen una base de datos que han de ser construidas en una instalación limpia para comprobar posteriormente cambios en las propiedades similares a tripwire o de otras bases de datos de intrusiones.

Un paquete rpm de rkhunter está disponible normalmente en el repositorio contrib. Si necesita una versión posterior de rkhunter, puede descargar el código fuente de la web citada al principio de este artículo.

Trucos de uso de rkhunter:

• Lea FAQ!

• rkhunter --help muestra todas las opciones disponibles.

• Actualice la base de datos de rkhunter ejecutando rkhunter --update de vez en cuando. Asimismo, con rkhunter --versioncheck, puede comprobar si tiene la versión más reciente del programa.

Si ve el siguiente mensaje:

Determining OS... Unknown
Warning: This operating system is not fully supported!
Warning: Cannot find md5_not_known
All MD5 checks will be skipped!

entonces no tiene la versión más reciente de rkhunter. Esta usa una instalación limpia y mediante el comando rkhunter --propupd se crea una base de datos que se usa para comprobar el sistema.

¹⁾ Un ejemplo del comando que se puede añadir a /etc/crontab es:

50 23 * * * root /usr/local/bin/rkhunter -c --cronjob --createlogfile

La forma más sencilla de añadirlo es via KCron o Webmin.