Volver al índice


rkhunter

Buscador de rootkits instalados en el sistema

# rkhunter --update (recargar la base de datos)

# rkhunter --propupd (si se ha modificado la función Hash o para reconstruir la base de datos y evitar "Warnings" tipo: Warning: The file properties have changed)

# rkhunter -c (iniciar la aplicación)

# rkhunter -c -sk (iniciar la aplicación sin pedir confirmación para proseguir después de cada sección)

# rkhunter -c -sk --rwo (sin mostrar salida excepto los "Warnings")

# rkhunter --list (ver todas las opciones)

# rkhunter --list rootkits (ver el listado se rootkits que busca)

# rkhunter --list tests (listado de chequeos)

# rkhunter --enable group_accounts,system_commands (solo chequear estas dos opciones)

# rkhunter --disable shared_libs (descartar esta opción del chequeo)

# cat /var/log/rkhunter.log | grep Warning (visualizar los "Warnings")

# egrep -i "warning:|[ warning ]" /var/log/rkhunter.log && awk '/System checks summary/ {f=1}f' /var/log/rkhunter.log (otra forma de visualizar "warnings")

# rkhunter -C (ver las últimas modificaciones del archivo de configuración /etc/rkhunter.conf)

1.-

Para solucionar el error: Warning: Hidden directory found: /etc/.java

# nano /etc/rkhunter.conf

Y descomentar la linea:

ALLOWHIDDENDIR="/etc/.java"

Nota.- para errores similares con archivos ocultos [/dev/.udev, /dev/.initramfs... ], descomentar la linea correspondiente.

2.-

Para errores de versión de ciertas aplicaciones [Warning: Application 'gpg', version ....]

# nano /etc/rkhunter.conf

Añadir apps a la linea:

DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps"

3.-

Para suprimir falsa advertencias sobre posibles interfaces promiscuos [P.ejemplo de un servidor virtual], añadir "promisc" a la opción DISABLE_TESTS:

DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps promisc"

4.-

Para que los valores se obtengan del gestor de paquetes correspondiente:

# nano /etc/rkhunter.conf

Y descomentar y modificar la linea PKGMGR:

PKGMGR=DPKG

Nota.- Otras opciones para distros no debian o para desactivar la opción: RPM, BSD,SOLARIS y NONE

5.-

Para evitar la nota: Warning: Suspicious file types found in /dev... añadir a /etc/rkhunter.conf la linea:

ALLOWDEVFILE=/dev/.../*

Nota.- Substituir los puntos supensivos por el subdirectorio oportuno.

6.-

Evitar el error: Invalid BINDIR configuration option: Not a directory: /snap/bin/kesty-whatsapp

He suprimido el programa que lo causaba:

# snap remove kesty-whatsapp

O dicen que suprimir la ruta al ejecutable /snap/bin/kesty-whatsapp que la tengo en .bashrc

7.-

Para evitar falsos "Warnings" del tipo: Warning: The following suspicious (large) shared memory segments have been found, que significa que existen procesos que usan segmentos de memoria compartida y que pueden comprobarse en el archivo de resultados /var/log/rkhunter.log, colocar en el archivo de configuración /etc/rkhunter.conf:

ALLOWIPCPROC=/usr/bin/firefox

ALLOWIPCPROC=/usr/lib/chromium/chromium

ALLOWIPCPROC=/usr/bin/liferea

ALLOWIPCPROC=/usr/bin/pcmanfm

...

Nota.- Pueden especificarse varios.

8.-

Puede que algunas utilidades principales que han sido reemplazadas por scripts produzcan falsas advertencias. Estas que pueden silenciarse a través de la lista blanca en /etc/rkhunter.conf:

SCRIPTWHITELIST=/usr/bin/egrep

SCRIPTWHITELIST=/usr/bin/fgrep

SCRIPTWHITELIST=/usr/bin/which

9.-

Para evitar problemas con el --update tipo:

Checking rkhunter data files...

Checking file mirrors.dat        [ Skipped ]

Checking file programs_bad.dat   [ Update failed ]

Checking file backdoorports.dat  [ Update failed ]

Checking file suspscan.dat       [ Update failed ]

Checking file i18n versions      [ Update failed ]

Editar el archivo de configuración /etc/rkhunter.conf y modificar los apartados siguientes de la forma especificada:

UPDATE_MIRRORS=1

MIRRORS_MODE=0

Que por defecto son:

UPDATE_MIRRORS=0

MIRRORS_MODE=1

Luego la ejecución de:

# rkhunter --update

dará como resultado algo tipo:

Checking rkhunter data files...

  Checking file mirrors.dat                                  [ No update ]

  Checking file programs_bad.dat                             [ No update ]

  Checking file backdoorports.dat                            [ No update ]

  Checking file suspscan.dat                                 [ No update ]

  Checking file i18n/cn                                      [ Skipped ]

  Checking file i18n/de                                      [ Skipped ]

  Checking file i18n/en                                      [ No update ]

  Checking file i18n/tr                                      [ Skipped ]

  Checking file i18n/tr.utf8                                 [ Skipped ]

  ...

10.-

Paquetes opcionales adicionales son: unhide para encontrar procesos y puertos ocultos y skdet (wget http://dvgevers.home.xs4all.nl/skdet/skdet) para verificaciones adicionales de Suckit Rookit.


Volver al índice