1. Présentation
RkHunter (Rootkit Hunter) est un logiciel de sécurité pour systèmes Unix qui permet de chercher des rootkits, portes dérobées et autres exploits. Son développement a commencé en 2006, initié par M. Boelen Handed.
2. Configuration
Le fichier de configuration se trouve dans /etc/rkhunter.conf
Il est conseillé de décommenter ces lignes pour éviter des faux positifs :
ALLOWHIDDENDIR=/dev/.udev
ALLOWHIDDENDIR=/dev/.static
Vous pouvez aussi renseigner une adresse mail afin de recevoir les rapports en cas de problèmes :
MAIL-ON-WARNING=
Après chaque mises à jour du système, utilisez ces commandes afin de mettre à jour rkhunter :
rkhunter –update
rkhunter –propupdate
3. Fonctionnement
Afin de détecter d’éventuels logiciels malveillants, il analyse et compare le hash (SHA, MD5) des fichiers importants du système et les compare à une liste d’empreintes en ligne. Ceci lui permet alors de détecter des changements dans les permissions, des fichiers cachés ou des chaînes inhabituelles dans le noyau.
4. Lancement d’un scan
On créé d’abord la première base de données :
rkhunter –propupd
On vérifie la version de RkHunter :
rkhunter –versioncheck
On met à jour la base de données si besoin :
rkhunter –update
On lance le scan :
rkhunter –check
Le rapport généré en fin de scan est le suivant :
En fin de scan, un rapport est affiché, mais disponible aussi dans le dossier de rkHunter, listant les diverses vérifications effectuées ainsi que leurs résultats, pour vérifier que tout est normal, ou pour prévenir qu’un problème a été trouvé.
A.A.
