rkhunter
rkhunter - RootKit Hunter
Beschreibung
rkhunter ist ein Shell-Skript, das verschiedene Überprüfungen auf dem lokalen System durchführt, um bekannte Rootkits und Malware zu erkennen.
- Es überprüft auch, ob Befehle oder die Systemstartdateien verändert wurden, und führt verschiedene Überprüfungen der Netzwerkschnittstellen durch, einschließlich der Überprüfung auf lauschende Anwendungen.
rkhunter wurde so generisch wie möglich geschrieben und sollte daher auf den meisten Linux- und UNIX-Systemen laufen.
- Es wird mit einigen Support-Skripten geliefert, falls bestimmte Befehle im System fehlen sollten, von denen einige Perl-Skripte sind.
- rkhunter benötigt bestimmte Befehle, um ausgeführt werden zu können.
- Darüber hinaus erfordern einige Tests bestimmte Befehle, aber wenn diese nicht vorhanden sind, wird der Test übersprungen.
- rkhunter muss unter einer Bourne-artigen Shell ausgeführt werden, in der Regel bash oder ksh.
- rkhunter kann als Cron-Job oder über die Befehlszeile ausgeführt werden.
- LIZENZ
RootKit Hunter ist unter der GPL lizenziert
- Copyright Michael Boelen
- Einzelheiten zur GPL-Lizenzierung finden Sie in der Datei LICENSE.
Installation
sudo apt install rkhunter
Anwendung
Aufruf
rkhunter [options]
Optionen
| Unix | GNU | Parameter | Beschreibung |
|---|---|---|---|
Befehlsoptionen
Wenn keine Befehlsoption angegeben wird, wird --help angenommen. rkhunter gibt einen Exit-Code ungleich Null zurück, wenn ein Fehler oder eine Warnung auftritt.
| Unix | GNU | Parameter | Beschreibung |
|---|---|---|---|
| -c | --check | Diese Befehlsoption weist rkhunter an, verschiedene Überprüfungen auf dem lokalen System durchzuführen. Das Ergebnis jedes Tests wird auf stdout angezeigt. Wenn etwas Verdächtiges gefunden wird, wird eine Warnung angezeigt. Eine Protokolldatei der Tests und der Ergebnisse wird automatisch erstellt. Es wird empfohlen, diese Befehlsoption regelmäßig auszuführen, um sicherzustellen, dass das System nicht kompromittiert wurde. | |
| --unlock | Diese Befehlsoption entsperrt (entfernt) einfach die Sperrdatei. Wenn diese Option allein verwendet wird, wird keine Protokolldatei erstellt | ||
| --update | Diese Befehlsoption veranlasst rkhunter zu überprüfen, ob es eine neuere Version einer seiner Textdatendateien gibt. Ein Befehlszeilen-Webbrowser, zum Beispiel wget oder linux, muss auf dem System vorhanden sein, wenn diese Option verwendet wird. Es wird empfohlen, diese Befehlsoption regelmäßig auszuführen, um sicherzustellen, dass die Datendateien auf dem neuesten Stand sind. Wenn diese Option über cron verwendet wird, wird empfohlen, auch die Option --nocolors zu verwenden. Ein Exit-Code von Null für diese Befehlsoption bedeutet, dass keine Updates verfügbar waren. Ein Exit-Code von eins bedeutet, dass ein Download-Fehler aufgetreten ist, und ein Code von zwei bedeutet, dass kein Fehler aufgetreten ist, aber Updates verfügbar waren und installiert wurden. | ||
| --propupd [filename | directory | package name},...] | Eine der Überprüfungen, die rkhunter durchführt, ist der Vergleich verschiedener aktueller Dateieigenschaften verschiedener Befehle mit denen, die zuvor gespeichert wurden. Diese Befehlsoption bewirkt, dass rkhunter seine Datendatei mit gespeicherten Werten mit den aktuellen Werten aktualisiert. Wenn die Option „filename“ verwendet wird, muss es sich entweder um einen vollständigen Pfadnamen oder um einen einfachen Dateinamen (z. B. „awk“) handeln. Bei Verwendung wird nur der Eintrag in der Dateieigenschaftsdatenbank für diese Datei aktualisiert. Wenn die Option directory verwendet wird, werden nur die in der Datenbank aufgeführten Dateien aktualisiert, die sich in dem angegebenen Verzeichnis befinden. Wenn die Option package name verwendet wird, werden ebenfalls nur die Dateien in der
Datenbank aktualisiert, die Teil des angegebenen Pakets sind. Der Paketname muss der Basisteil des Namens sein, Versionsnummern sollten nicht enthalten sein – zum Beispiel „coreutils”. Paketnamen werden natürlich nur dann in der Dateieigenschaftsdatenbank gespeichert, wenn ein Paketmanager verwendet wird. Wenn ein Paketname mit einem Dateinamen übereinstimmt – beispielsweise könnte „file” sich auf den Befehl „file” oder auf das RPM -Paket „file” (das den Befehl „file” enthält) beziehen –, wird der Paketname verwendet. Wenn keine bestimmte Option angegeben wird, wird die gesamte Datenbank aktualisiert. WARNUNG: Es liegt in der Verantwortung des Benutzers, sicherzustellen, dass die Dateien auf dem System echt sind und aus einer zuverlässigen Quelle stammen. rkhunter kann nur melden, ob sich eine Datei geändert hat, aber nicht, was die Änderung verursacht hat. Wenn sich also eine Datei geändert hat und die Befehlsoption --propupd verwendet wird, geht rkhunter davon aus, dass die Datei echt ist. | ||
| --versioncheck | Diese Befehlsoption veranlasst rkhunter zu überprüfen, ob eine neuere Version des Programms verfügbar ist. Bei Verwendung dieser Option muss ein Befehlszeilen-Webbrowser auf dem System vorhanden sein. Wenn diese Option über cron verwendet wird, wird empfohlen, auch die Option --nocolors zu verwenden. Ein Exit-Code von Null für diese Befehlsoption bedeutet, dass keine neue Version verfügbar war. Ein Exit-Code von eins bedeutet, dass beim Herunterladen der neuesten Versionsnummer ein Fehler aufgetreten ist , und ein Code von zwei bedeutet, dass kein Fehler aufgetreten ist, aber eine neue Version verfügbar ist. | ||
| --list [tests | {lang | languages} | rootkits | perl | propfiles] | Diese Befehlsoption listet einige der unterstützten Funktionen des Programms auf und beendet dann die Ausführung. Die Option tests listet die derzeit verfügbaren Testnamen auf (weitere Informationen zu den Testnamen finden Sie in der README-Datei). Die Option languages listet die derzeit verfügbaren Sprachen auf, und die Option rootkits listet die Rootkits auf, nach denen rkhunter sucht. Die Option perl listet den Installationsstatus des Befehls perl und der Perl-Module auf, die von einigen der Tests verwendet werden können. Beachten Sie, dass die Installation dieser Module nicht erforderlich ist. Wenn rkhunter jedoch gezwungen ist, Perl zur Ausführung eines Tests zu verwenden, muss das Modul vorhanden sein. Die Option propfiles listet die Dateinamen auf, die zur Erstellung der Dateieigenschaftsdatenbank verwendet werden. Wenn keine bestimmte Option angegeben wird, werden alle Listen mit Ausnahme der Dateieigenschaftsdatenbank angezeigt. | ||
| -C | --config-check | Diese Befehlsoption bewirkt, dass rkhunter seine Konfigurationsdatei(en) überprüft und dann beendet wird. Das Programm führt seine normalen Konfigurationsprüfungen durch, wie sie durch die Optionen enable und disable in der Befehlszeile und in den Konfigurationsdateien festgelegt sind. Das heißt, es werden nur die Konfigurationsoptionen für Tests überprüft, die normalerweise ausgeführt würden. Um alle konfigurierten Optionen zu überprüfen, verwenden Sie die Optionen --enable all --disable none in der Befehlszeile. Zusätzlich überprüft das Programm, ob es nicht erkannte Konfigurationsoptionen gibt. Wenn Konfigurationsprobleme gefunden werden, werden diese angezeigt und der Rückgabecode wird auf 1 gesetzt. Es wird empfohlen, diese Option immer dann zu verwenden, wenn die Konfigurationsdatei(en) geändert wurden. | |
| -V, --version | Diese Befehlsoption bewirkt, dass rkhunter seine Versionsnummer anzeigt und dann beendet wird. | ||
| -h, --help | Diese Befehlsoption zeigt das Hilfemenü an und beendet dann das Programm. |
Parameter
Umgebungsvariablen
Exit-Status
| Wert | Beschreibung |
|---|---|
| 0 | Erfolg |
| >0 | Fehler |
Konfiguration
Dateien
| Datei | Beschreibung |
|---|---|
| /etc/rkhunter.conf | |
| /var/log/rkhunter.log |
Anhang
Siehe auch
- See the CHANGELOG file for recent changes
- The README file has information about installing rkhunter, as well as specific sections on test names and using package managers
- The FAQ file should also answer some questions
Dokumentation
- Man-Page