rkhunter
Buscador de rootkits instalados en el sistema
# rkhunter --update
# rkhunter --propupd
# rkhunter -c
# rkhunter -c -sk
# rkhunter -c -sk --rwo
# rkhunter --list
# rkhunter --list rootkits
# rkhunter --list tests
# rkhunter --enable group_accounts,system_commands
# rkhunter --disable shared_libs
# cat /var/log/rkhunter.log | grep Warning
# egrep -i "warning:|\[ warning \]" /var/log/rkhunter.log && awk '/System checks summary/ {f=1}f' /var/log/rkhunter.log
# rkhunter -C
1.-
Para solucionar el error: Warning: Hidden directory found: /etc/.java
# nano /etc/rkhunter.conf
Y descomentar la linea:
ALLOWHIDDENDIR="/etc/.java"
Nota.- para errores similares con archivos ocultos [/dev/.udev, /dev/.initramfs... ], descomentar la linea correspondiente.
2.-
Para errores de versión de ciertas aplicaciones [Warning: Application 'gpg', version ....]
# nano /etc/rkhunter.conf
Añadir apps a la linea:
DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps"
3.-
Para suprimir falsa advertencias sobre posibles interfaces promiscuos [P.ejemplo de un servidor virtual], añadir "promisc" a la opción DISABLE_TESTS:
DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps promisc"
4.-
Para que los valores se obtengan del gestor de paquetes correspondiente:
# nano /etc/rkhunter.conf
Y descomentar y modificar la linea PKGMGR:
PKGMGR=DPKG
Nota.- Otras opciones para distros no debian o para desactivar la opción: RPM, BSD,SOLARIS y NONE
5.-
Para evitar la nota: Warning: Suspicious file types found in /dev... añadir a /etc/rkhunter.conf la linea:
ALLOWDEVFILE=/dev/.../*
Nota.- Substituir los puntos supensivos por el subdirectorio oportuno.
6.-
Evitar el error: Invalid BINDIR configuration option: Not a directory: /snap/bin/kesty-whatsapp
He suprimido el programa que lo causaba:
# snap remove kesty-whatsapp
O dicen que suprimir la ruta al ejecutable /snap/bin/kesty-whatsapp que la tengo en .bashrc
7.-
Para evitar falsos "Warnings" del tipo: Warning: The following suspicious (large) shared memory segments have been found, que significa que existen procesos que usan segmentos de memoria compartida y que pueden comprobarse en el archivo de resultados /var/log/rkhunter.log, colocar en el archivo de configuración /etc/rkhunter.conf:
ALLOWIPCPROC=/usr/bin/firefox
ALLOWIPCPROC=/usr/lib/chromium/chromium
ALLOWIPCPROC=/usr/bin/liferea
ALLOWIPCPROC=/usr/bin/pcmanfm
...
Nota.- Pueden especificarse varios.
8.-
Puede que algunas utilidades principales que han sido reemplazadas por scripts produzcan falsas advertencias. Estas que pueden silenciarse a través de la lista blanca en /etc/rkhunter.conf:
SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which
9.-
Para evitar problemas con el --update tipo:
Checking rkhunter data files...
Checking file mirrors.dat [ Skipped ]
Checking file programs_bad.dat [ Update failed ]
Checking file backdoorports.dat [ Update failed ]
Checking file suspscan.dat [ Update failed ]
Checking file i18n versions [ Update failed ]
Editar el archivo de configuración /etc/rkhunter.conf y modificar los apartados siguientes de la forma especificada:
UPDATE_MIRRORS=1
MIRRORS_MODE=0
Que por defecto son:
UPDATE_MIRRORS=0
MIRRORS_MODE=1
Luego la ejecución de:
# rkhunter --update
dará como resultado algo tipo:
Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ Skipped ]
Checking file i18n/de [ Skipped ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ Skipped ]
Checking file i18n/tr.utf8 [ Skipped ]
...
10.-
Paquetes opcionales adicionales son: unhide para encontrar procesos y puertos ocultos y skdet (wget http://dvgevers.home.xs4all.nl/skdet/skdet) para verificaciones adicionales de Suckit Rookit.