Rootkit Hunter - Buscando rootkits en nuestro Linux.

Iniciado por JaAViEr, Julio 24, 2011, 01:45:45 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Julio 24, 2011, 01:45:45 AM Ultima modificación: Julio 04, 2014, 10:24:24 PM por Expermicid
Hola, siguiendo con la limpieza en mi computador, pasé del
BleachBit que me liberó bastante espacio al HDD al
Rootkit Hunter, una tool bien completa que nos ayudará a
localizar en nuestro S.O algun rootkit.
Para obtenerlo :
Código: php

wget http://anycode.s.gp/misubidas/rkhunter-1.3.8.tar.gz

Si amas la consola , descomprime :
Código: php
tar zxf rkhunter-1.3.8.tar.gz

O si no con Dolphin o algun navegador de archivos.
Luego :
Código: php
cd rkhunter-1.3.8

y procedemos a instalar:
Código: php

./installer.sh --install

y Ejecutamos
Código: php

rkhunter

Código: php


Usage: rkhunter {--check | --unlock | --update | --versioncheck |
                 --propupd [{filename | directory | package name},...] |
                 --list [{tests | {lang | languages} | rootkits | perl}] |
                 --config-check | --version | --help} [options]

Current options are:
         --append-log                  Append to the logfile, do not overwrite
         --bindir <directory>...       Use the specified command directories
     -c, --check                       Check the local system
     -C, --config-check                Check the configuration file(s), then exit
  --cs2, --color-set2                  Use the second color set for output
         --configfile <file>           Use the specified configuration file
         --cronjob                     Run as a cron job
                                       (implies -c, --sk and --nocolors options)
         --dbdir <directory>           Use the specified database directory
         --debug                       Debug mode
                                       (Do not use unless asked to do so)
         --disable <test>[,<test>...]  Disable specific tests
                                       (Default is to disable no tests)
         --display-logfile             Display the logfile at the end
         --enable  <test>[,<test>...]  Enable specific tests
                                       (Default is to enable all tests)
         --hash {MD5 | SHA1 | SHA224 | SHA256 | SHA384 | SHA512 |
                 NONE | <command>}     Use the specified file hash function
                                       (Default is SHA1, then MD5)
     -h, --help                        Display this help menu, then exit
--lang, --language <language>         Specify the language to use
                                       (Default is English)
         --list [tests | languages |   List the available test names, languages, checked
                 rootkits | perl]      for rootkits, or perl module status, then exit
     -l, --logfile [file]              Write to a logfile
                                       (Default is /var/log/rkhunter.log)
         --noappend-log                Do not append to the logfile, overwrite it
         --nocf                        Do not use the configuration file entries
                                       for disabled tests (only valid with --disable)
         --nocolors                    Use black and white output
         --nolog                       Do not write to a logfile
--nomow, --no-mail-on-warning          Do not send a message if warnings occur
   --ns, --nosummary                   Do not show the summary of check results
--novl, --no-verbose-logging          No verbose logging
         --pkgmgr {RPM | DPKG | BSD |  Use the specified package manager to obtain or
                   SOLARIS | NONE}     verify file property values. (Default is NONE)
         --propupd [file | directory | Update the entire file properties database,
                    package]...        or just for the specified entries
     -q, --quiet                       Quiet mode (no output at all)
  --rwo, --report-warnings-only        Show only warning messages
     -r, --rootdir <directory>         Use the specified root directory
   --sk, --skip-keypress               Don't wait for a keypress after each test
         --summary                     Show the summary of system check results
                                       (This is the default)
         --syslog [facility.priority]  Log the check start and finish times to syslog
                                       (Default level is authpriv.notice)
         --tmpdir <directory>          Use the specified temporary directory
         --unlock                      Unlock (remove) the lock file
         --update                      Check for updates to database files
   --vl, --verbose-logging             Use verbose logging (on by default)
     -V, --version                     Display the version number, then exit
         --versioncheck                Check for latest version of program
     -x, --autox                       Automatically detect if X is in use
     -X, --no-autox                    Do not automatically detect if X is in use

Usaremos rkhunter -c  y nos devolverá un análisis del sistema
en ocasiones pedirá presionar Enter por si acaso.

Saludos.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Me tiró dos warnings al final del escaneo. Pero no me deja abrir el log, nisiquiera dandole permisos al archivo.

tambien probé con:

Código: bash
sudo rkhunter -c > log


Y se me cuelga la consola. Deja de responder.




Instalación y actualización en Ubuntu:

Código: bash
sudo apt-get install rkhunter && sudo rkhunter --update

Julio 24, 2011, 02:40:20 AM #2 Ultima modificación: Julio 24, 2011, 02:56:53 AM por JaAViEr
Ahora veo, estoy testeando con el parametro "-l"
Utilicé rkhunter -l log.txt -c
y me guardó el log ;D
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Muy bueno, te lo fijo porque no hay temas de estos.
Muchas gracias.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Thanks, de todas formas seguiré subiendo más herramientas, ahora
estoy recolectando herramientas para BackUp ;D

Saludos.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Thanks, de todas formas seguiré subiendo más herramientas, ahora
estoy recolectando herramientas para BackUp ;D

Saludos.

Muchas gracias por colaborar en esta sección, yo empece a hacer el FAQ e Indice,  porque veo que ya hay muchos temas fijos :P

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Me parece bien, yo seguiré dando algunas herramientas más
así alomejor se puede llenar un poquito más la FAQ.


Saludos.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Agosto 02, 2011, 04:30:59 PM #7 Ultima modificación: Agosto 02, 2011, 04:34:50 PM por Comandante Linux
A mi de volvió esto

Código: php
rkhunter -l log.txt -c


Citar[15:57:46] Running Rootkit Hunter version 1.3.6 on henry
[16:17:41] System checks summary
[16:17:42] =====================
[16:17:42]
[16:17:42] File properties checks...
[16:17:42] Files checked: 133
[16:17:42] Suspect files: 2
[16:17:42]
[16:17:42] Rootkit checks...
[16:17:42] Rootkits checked : 245
[16:17:42] Possible rootkits: 0
[16:17:42]
[16:17:42] Applications checks...
[16:17:42] All checks skipped
[16:17:42]
[16:17:42] The system checks took: 19 minutes and 52 seconds

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Es normal al parecer, a JaAViEr y a mi tambien nos devolvio dos archivos sospechosos.


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Es normal al parecer, a JaAViEr y a mi tambien nos devolvio dos archivos sospechosos.

Al parecer, a ami también me tiro unos 3 warnings

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta