Rootkit Hunter - Buscando rootkits en nuestro Linux.

JaAViEr · Julio 24, 2011, 01:45:45 AM

Hola, siguiendo con la limpieza en mi computador, pasé del
BleachBit que me liberó bastante espacio al HDD al
Rootkit Hunter, una tool bien completa que nos ayudará a
localizar en nuestro S.O algun rootkit.
Para obtenerlo :

Código: text


wget http://anycode.s.gp/misubidas/rkhunter-1.3.8.tar.gz

Si amas la consola , descomprime :

Código: text

tar zxf rkhunter-1.3.8.tar.gz

O si no con Dolphin o algun navegador de archivos.
Luego :

Código: text

cd rkhunter-1.3.8

y procedemos a instalar:

Código: text


./installer.sh --install

y Ejecutamos

Código: text


rkhunter

Código: text



Usage: rkhunter {--check | --unlock | --update | --versioncheck |
                 --propupd [{filename | directory | package name},...] |
                 --list [{tests | {lang | languages} | rootkits | perl}] |
                 --config-check | --version | --help} [options]

Current options are:
         --append-log                  Append to the logfile, do not overwrite
         --bindir <directory>...       Use the specified command directories
     -c, --check                       Check the local system
     -C, --config-check                Check the configuration file(s), then exit
  --cs2, --color-set2                  Use the second color set for output
         --configfile <file>           Use the specified configuration file
         --cronjob                     Run as a cron job
                                       (implies -c, --sk and --nocolors options)
         --dbdir <directory>           Use the specified database directory
         --debug                       Debug mode
                                       (Do not use unless asked to do so)
         --disable <test>[,<test>...]  Disable specific tests
                                       (Default is to disable no tests)
         --display-logfile             Display the logfile at the end
         --enable  <test>[,<test>...]  Enable specific tests
                                       (Default is to enable all tests)
         --hash {MD5 | SHA1 | SHA224 | SHA256 | SHA384 | SHA512 |
                 NONE | <command>}     Use the specified file hash function
                                       (Default is SHA1, then MD5)
     -h, --help                        Display this help menu, then exit
 --lang, --language <language>         Specify the language to use
                                       (Default is English)
         --list [tests | languages |   List the available test names, languages, checked
                 rootkits | perl]      for rootkits, or perl module status, then exit
     -l, --logfile [file]              Write to a logfile
                                       (Default is /var/log/rkhunter.log)
         --noappend-log                Do not append to the logfile, overwrite it
         --nocf                        Do not use the configuration file entries
                                       for disabled tests (only valid with --disable)
         --nocolors                    Use black and white output
         --nolog                       Do not write to a logfile
--nomow, --no-mail-on-warning          Do not send a message if warnings occur
   --ns, --nosummary                   Do not show the summary of check results
 --novl, --no-verbose-logging          No verbose logging
         --pkgmgr {RPM | DPKG | BSD |  Use the specified package manager to obtain or
                   SOLARIS | NONE}     verify file property values. (Default is NONE)
         --propupd [file | directory | Update the entire file properties database,
                    package]...        or just for the specified entries
     -q, --quiet                       Quiet mode (no output at all)
  --rwo, --report-warnings-only        Show only warning messages
     -r, --rootdir <directory>         Use the specified root directory
   --sk, --skip-keypress               Don't wait for a keypress after each test
         --summary                     Show the summary of system check results
                                       (This is the default)
         --syslog [facility.priority]  Log the check start and finish times to syslog
                                       (Default level is authpriv.notice)
         --tmpdir <directory>          Use the specified temporary directory
         --unlock                      Unlock (remove) the lock file
         --update                      Check for updates to database files
   --vl, --verbose-logging             Use verbose logging (on by default)
     -V, --version                     Display the version number, then exit
         --versioncheck                Check for latest version of program
     -x, --autox                       Automatically detect if X is in use
     -X, --no-autox                    Do not automatically detect if X is in use

Usaremos rkhunter -c y nos devolverá un análisis del sistema
en ocasiones pedirá presionar Enter por si acaso.

Saludos.

Mavis · Julio 24, 2011, 02:32:22 AM

Me tiró dos warnings al final del escaneo. Pero no me deja abrir el log, nisiquiera dandole permisos al archivo.

tambien probé con:

Código: bash

sudo rkhunter -c > log

Y se me cuelga la consola. Deja de responder.

Instalación y actualización en Ubuntu:

Código: bash

sudo apt-get install rkhunter && sudo rkhunter --update

JaAViEr · Julio 24, 2011, 02:40:20 AM

Ahora veo, estoy testeando con el parametro "-l"
Utilicé rkhunter -l log.txt -c
y me guardó el log

Comandante Linux · Julio 24, 2011, 12:07:16 PM

Muy bueno, te lo fijo porque no hay temas de estos.
Muchas gracias.

JaAViEr · Julio 24, 2011, 07:49:43 PM

Thanks, de todas formas seguiré subiendo más herramientas, ahora
estoy recolectando herramientas para BackUp

Saludos.

Comandante Linux · Julio 24, 2011, 07:52:45 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Thanks, de todas formas seguiré subiendo más herramientas, ahora
estoy recolectando herramientas para BackUp

Saludos.

Muchas gracias por colaborar en esta sección, yo empece a hacer el FAQ e Indice, porque veo que ya hay muchos temas fijos

JaAViEr · Julio 24, 2011, 08:00:10 PM

Me parece bien, yo seguiré dando algunas herramientas más
así alomejor se puede llenar un poquito más la FAQ.

Saludos.

Comandante Linux · Agosto 02, 2011, 04:30:59 PM

A mi de volvió esto

Código: text

rkhunter -l log.txt -c

Citar[15:57:46] Running Rootkit Hunter version 1.3.6 on henry
[16:17:41] System checks summary
[16:17:42] =====================
[16:17:42]
[16:17:42] File properties checks...
[16:17:42] Files checked: 133
[16:17:42] Suspect files: 2
[16:17:42]
[16:17:42] Rootkit checks...
[16:17:42] Rootkits checked : 245
[16:17:42] Possible rootkits: 0
[16:17:42]
[16:17:42] Applications checks...
[16:17:42] All checks skipped
[16:17:42]
[16:17:42] The system checks took: 19 minutes and 52 seconds

Mavis · Agosto 02, 2011, 07:17:47 PM

Es normal al parecer, a JaAViEr y a mi tambien nos devolvio dos archivos sospechosos.

Comandante Linux · Agosto 02, 2011, 08:22:03 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Es normal al parecer, a JaAViEr y a mi tambien nos devolvio dos archivos sospechosos.

Al parecer, a ami también me tiro unos 3 warnings

Rootkit Hunter - Buscando rootkits en nuestro Linux.

JaAViEr

Julio 24, 2011, 01:45:45 AM Ultima modificación: Julio 04, 2014, 10:24:24 PM por Expermicid

Mavis

Julio 24, 2011, 02:32:22 AM #1

JaAViEr

Julio 24, 2011, 02:40:20 AM #2 Ultima modificación: Julio 24, 2011, 02:56:53 AM por JaAViEr

Comandante Linux

Julio 24, 2011, 12:07:16 PM #3

JaAViEr

Julio 24, 2011, 07:49:43 PM #4

Comandante Linux

Julio 24, 2011, 07:52:45 PM #5

JaAViEr

Julio 24, 2011, 08:00:10 PM #6

Comandante Linux

Agosto 02, 2011, 04:30:59 PM #7 Ultima modificación: Agosto 02, 2011, 04:34:50 PM por Comandante Linux

Mavis

Agosto 02, 2011, 07:17:47 PM #8

Comandante Linux

Agosto 02, 2011, 08:22:03 PM #9