Rkhunter: Unterschied zwischen den Versionen

Aktuelle Version vom 24. Oktober 2025, 10:46 Uhr

rkhunter - RootKit Hunter

Beschreibung

rkhunter ist ein Shell-Skript, das Überprüfungen auf dem lokalen System durchführt

um bekannte Rootkits und Malware zu erkennen
Es überprüft auch, ob Befehle oder die Systemstartdateien verändert wurden, und führt verschiedene Überprüfungen der Netzwerkschnittstellen durch, einschließlich der Überprüfung auf lauschende Anwendungen

rkhunter wurde so generisch wie möglich geschrieben und sollte daher auf den meisten Linux- und UNIX-Systemen laufen

Es wird mit einigen Support-Skripten geliefert, falls bestimmte Befehle im System fehlen sollten, von denen einige Perl-Skripte sind
rkhunter benötigt bestimmte Befehle, um ausgeführt werden zu können
Darüber hinaus erfordern einige Tests bestimmte Befehle, aber wenn diese nicht vorhanden sind, wird der Test übersprungen

rkhunter muss unter einer Bourne-artigen Shell ausgeführt werden, in der Regel bash oder ksh
rkhunter kann als Cron-Job oder über die Befehlszeile ausgeführt werden

LIZENZ

RootKit Hunter ist unter der GPL lizenziert

Copyright Michael Boelen
Einzelheiten zur GPL-Lizenzierung finden Sie in der Datei LICENSE

Installation

sudo apt install rkhunter

Anwendung

Aufruf

 rkhunter [options]

Optionen

Unix	GNU	Parameter	Beschreibung

Befehlsoptionen

Wenn keine Befehlsoption angegeben wird, wird --help angenommen

rkhunter gibt einen Exit-Code ungleich Null zurück, wenn ein Fehler oder eine Warnung auftritt

Unix	GNU	Beschreibung
-c	--check	Diese Befehlsoption weist rkhunter an, verschiedene Überprüfungen auf dem lokalen System durchzuführen Das Ergebnis jedes Tests wird auf stdout angezeigt Wenn etwas Verdächtiges gefunden wird, wird eine Warnung angezeigt Eine Protokolldatei der Tests und der Ergebnisse wird automatisch erstellt Es wird empfohlen, diese Befehlsoption regelmäßig auszuführen, um sicherzustellen, dass das System nicht kompromittiert wurde
	--unlock	Diese Befehlsoption entsperrt (entfernt) einfach die Sperrdatei Wenn diese Option allein verwendet wird, wird keine Protokolldatei erstellt
	--update	Diese Befehlsoption veranlasst rkhunter zu überprüfen, ob es eine neuere Version einer seiner Textdatendateien gibt Ein Befehlszeilen-Webbrowser, zum Beispiel wget oder linux, muss auf dem System vorhanden sein, wenn diese Option verwendet wird Es wird empfohlen, diese Befehlsoption regelmäßig auszuführen, um sicherzustellen, dass die Datendateien auf dem neuesten Stand sind Wenn diese Option über cron verwendet wird, wird empfohlen, auch die Option --nocolors zu verwenden Ein Exit-Code von Null für diese Befehlsoption bedeutet, dass keine Updates verfügbar waren Ein Exit-Code von eins bedeutet, dass ein Download-Fehler aufgetreten ist, und ein Code von zwei bedeutet, dass kein Fehler aufgetreten ist, aber Updates verfügbar waren und installiert wurden
	--propupd [filename \| directory \| package name},...]	Eine der Überprüfungen, die rkhunter durchführt, ist der Vergleich verschiedener aktueller Dateieigenschaften verschiedener Befehle mit denen, die zuvor gespeichert wurden Diese Befehlsoption bewirkt, dass rkhunter seine Datendatei mit gespeicherten Werten mit den aktuellen Werten aktualisiert Wenn die Option „filename“ verwendet wird, muss es sich entweder um einen vollständigen Pfadnamen oder um einen einfachen Dateinamen (z. *B. awk) handeln Bei Verwendung wird nur der Eintrag in der Dateieigenschaftsdatenbank für diese Datei aktualisiert Wenn die Option directory verwendet wird, werden nur die in der Datenbank aufgeführten Dateien aktualisiert, die sich in dem angegebenen Verzeichnis befinden Wenn die Option package name verwendet wird, werden ebenfalls nur die Dateien in der Datenbank aktualisiert, die Teil des angegebenen Pakets sind Der Paketname muss der Basisteil des Namens sein, Versionsnummern sollten nicht enthalten sein – zum Beispiel „coreutils” Paketnamen werden natürlich nur dann in der Dateieigenschaftsdatenbank gespeichert, wenn ein Paketmanager verwendet wird Wenn ein Paketname mit einem Dateinamen übereinstimmt – beispielsweise könnte „file” sich auf den Befehl „file” oder auf das RPM -Paket „file” (das den Befehl „file” enthält) beziehen –, wird der Paketname verwendet Wenn keine bestimmte Option angegeben wird, wird die gesamte Datenbank aktualisiert WARNUNG: Es liegt in der Verantwortung des Benutzers, sicherzustellen, dass die Dateien auf dem System echt sind und aus einer zuverlässigen Quelle stammen rkhunter kann nur melden, ob sich eine Datei geändert hat, aber nicht, was die Änderung verursacht hat Wenn sich also eine Datei geändert hat und die Befehlsoption --propupd verwendet wird, geht rkhunter davon aus, dass die Datei echt ist
	--versioncheck	Diese Befehlsoption veranlasst rkhunter zu überprüfen, ob eine neuere Version des Programms verfügbar ist Bei Verwendung dieser Option muss ein Befehlszeilen-Webbrowser auf dem System vorhanden sein Wenn diese Option über cron verwendet wird, wird empfohlen, auch die Option --nocolors zu verwenden Ein Exit-Code von Null für diese Befehlsoption bedeutet, dass keine neue Version verfügbar war Ein Exit-Code von eins bedeutet, dass beim Herunterladen der neuesten Versionsnummer ein Fehler aufgetreten ist , und ein Code von zwei bedeutet, dass kein Fehler aufgetreten ist, aber eine neue Version verfügbar ist
	-list [tests \| {lang \| languages} \| rootkits \| perl \| propfiles]	Diese Befehlsoption listet einige der unterstützten Funktionen des Programms auf und beendet dann die Ausführung Die Option tests listet die derzeit verfügbaren Testnamen auf (weitere Informationen zu den Testnamen finden Sie in der README-Datei) Die Option languages listet die derzeit verfügbaren Sprachen auf, und die Option rootkits listet die Rootkits auf, nach denen rkhunter sucht Die Option perl listet den Installationsstatus des Befehls perl und der Perl-Module auf, die von einigen der Tests verwendet werden können Beachten Sie, dass die Installation dieser Module nicht erforderlich ist Wenn rkhunter jedoch gezwungen ist, Perl zur Ausführung eines Tests zu verwenden, muss das Modul vorhanden sein Die Option propfiles listet die Dateinamen auf, die zur Erstellung der Dateieigenschaftsdatenbank verwendet werden Wenn keine bestimmte Option angegeben wird, werden alle Listen mit Ausnahme der Dateieigenschaftsdatenbank angezeigt
-C	--config-check	Diese Befehlsoption bewirkt, dass rkhunter seine Konfigurationsdatei(en) überprüft und dann beendet wird Das Programm führt seine normalen Konfigurationsprüfungen durch, wie sie durch die Optionen enable und disable in der Befehlszeile und in den Konfigurationsdateien festgelegt sind Das heißt, es werden nur die Konfigurationsoptionen für Tests überprüft, die normalerweise ausgeführt würden Um alle konfigurierten Optionen zu überprüfen, verwenden Sie die Optionen --enable all --disable none in der Befehlszeile Zusätzlich überprüft das Programm, ob es nicht erkannte Konfigurationsoptionen gibt Wenn Konfigurationsprobleme gefunden werden, werden diese angezeigt und der Rückgabecode wird auf 1 gesetzt Es wird empfohlen, diese Option immer dann zu verwenden, wenn die Konfigurationsdatei(en) geändert wurden
-V	--version	Diese Befehlsoption bewirkt, dass rkhunter seine Versionsnummer anzeigt und dann beendet wird
-h	--help	Diese Befehlsoption zeigt das Hilfemenü an und beendet dann das Programm

Parameter

Umgebungsvariablen

Exit-Status

Wert	Beschreibung
0	Erfolg
>0	Fehler

Konfiguration

Dateien

Datei	Beschreibung
/etc/rkhunter.conf
/var/log/rkhunter.log

Anhang

Siehe auch

See the CHANGELOG file for recent changes
The README file has information about installing rkhunter, as well as specific sections on test names and using package managers
The FAQ file should also answer some questions

Dokumentation

Man-Page

rkhunter(8)

Links

Projekt

https://rkhunter.sourceforge.net

Weblinks