Zum Inhalt springen

Rkhunter: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Zeile 93: Zeile 93:
* Ein Exit-Code von eins bedeutet, dass beim Herunterladen der neuesten Versionsnummer ein Fehler aufgetreten ist , und ein Code von zwei bedeutet, dass kein Fehler aufgetreten ist, aber eine neue Version verfügbar ist
* Ein Exit-Code von eins bedeutet, dass beim Herunterladen der neuesten Versionsnummer ein Fehler aufgetreten ist , und ein Code von zwei bedeutet, dass kein Fehler aufgetreten ist, aber eine neue Version verfügbar ist
|-
|-
| -|| -list <nowiki>[tests | {lang | languages} | rootkits | perl | propfiles]</nowiki> || || Diese Befehlsoption listet einige der unterstützten Funktionen des Programms auf und beendet dann die Ausführung
| || -list <nowiki>[tests | {lang | languages} | rootkits | perl | propfiles]</nowiki> || || Diese Befehlsoption listet einige der unterstützten Funktionen des Programms auf und beendet dann die Ausführung
* Die Option tests listet die derzeit verfügbaren Testnamen auf (weitere Informationen zu den Testnamen finden Sie in der README-Datei)
* Die Option tests listet die derzeit verfügbaren Testnamen auf (weitere Informationen zu den Testnamen finden Sie in der README-Datei)
* Die Option languages listet die derzeit verfügbaren Sprachen auf, und die Option rootkits listet die Rootkits auf, nach denen rkhunter sucht
* Die Option languages listet die derzeit verfügbaren Sprachen auf, und die Option rootkits listet die Rootkits auf, nach denen rkhunter sucht

Version vom 24. Oktober 2025, 10:46 Uhr

rkhunter - RootKit Hunter

Beschreibung

rkhunter ist ein Shell-Skript, das Überprüfungen auf dem lokalen System durchführt

  • um bekannte Rootkits und Malware zu erkennen
  • Es überprüft auch, ob Befehle oder die Systemstartdateien verändert wurden, und führt verschiedene Überprüfungen der Netzwerkschnittstellen durch, einschließlich der Überprüfung auf lauschende Anwendungen

rkhunter wurde so generisch wie möglich geschrieben und sollte daher auf den meisten Linux- und UNIX-Systemen laufen

  • Es wird mit einigen Support-Skripten geliefert, falls bestimmte Befehle im System fehlen sollten, von denen einige Perl-Skripte sind
  • rkhunter benötigt bestimmte Befehle, um ausgeführt werden zu können
  • Darüber hinaus erfordern einige Tests bestimmte Befehle, aber wenn diese nicht vorhanden sind, wird der Test übersprungen
  • rkhunter muss unter einer Bourne-artigen Shell ausgeführt werden, in der Regel bash oder ksh
  • rkhunter kann als Cron-Job oder über die Befehlszeile ausgeführt werden
LIZENZ

RootKit Hunter ist unter der GPL lizenziert

  • Copyright Michael Boelen
  • Einzelheiten zur GPL-Lizenzierung finden Sie in der Datei LICENSE

Installation

sudo apt install rkhunter

Anwendung


Aufruf

 rkhunter [options]

Optionen

Unix GNU Parameter Beschreibung

Befehlsoptionen

Wenn keine Befehlsoption angegeben wird, wird --help angenommen

  • rkhunter gibt einen Exit-Code ungleich Null zurück, wenn ein Fehler oder eine Warnung auftritt
Unix GNU Parameter Beschreibung
-c --check Diese Befehlsoption weist rkhunter an, verschiedene Überprüfungen auf dem lokalen System durchzuführen
  • Das Ergebnis jedes Tests wird auf stdout angezeigt
  • Wenn etwas Verdächtiges gefunden wird, wird eine Warnung angezeigt
  • Eine Protokolldatei der Tests und der Ergebnisse wird automatisch erstellt
  • Es wird empfohlen, diese Befehlsoption regelmäßig auszuführen, um sicherzustellen, dass das System nicht kompromittiert wurde
--unlock Diese Befehlsoption entsperrt (entfernt) einfach die Sperrdatei
  • Wenn diese Option allein verwendet wird, wird keine Protokolldatei erstellt
--update Diese Befehlsoption veranlasst rkhunter zu überprüfen, ob es eine neuere Version einer seiner Textdatendateien gibt
  • Ein Befehlszeilen-Webbrowser, zum Beispiel wget oder linux, muss auf dem System vorhanden sein, wenn diese Option verwendet wird
  • Es wird empfohlen, diese Befehlsoption regelmäßig auszuführen, um sicherzustellen, dass die Datendateien auf dem neuesten Stand sind
  • Wenn diese Option über cron verwendet wird, wird empfohlen, auch die Option --nocolors zu verwenden
  • Ein Exit-Code von Null für diese Befehlsoption bedeutet, dass keine Updates verfügbar waren
  • Ein Exit-Code von eins bedeutet, dass ein Download-Fehler aufgetreten ist, und ein Code von zwei bedeutet, dass kein Fehler aufgetreten ist, aber Updates verfügbar waren und installiert wurden
--propupd [filename | directory | package name},...] Eine der Überprüfungen, die rkhunter durchführt, ist der Vergleich verschiedener aktueller Dateieigenschaften verschiedener Befehle mit denen, die zuvor gespeichert wurden
  • Diese Befehlsoption bewirkt, dass rkhunter seine Datendatei mit gespeicherten Werten mit den aktuellen Werten aktualisiert
  • Wenn die Option „filename“ verwendet wird, muss es sich entweder um einen vollständigen Pfadnamen oder um einen einfachen Dateinamen (z. *B. awk) handeln
  • Bei Verwendung wird nur der Eintrag in der Dateieigenschaftsdatenbank für diese Datei aktualisiert
  • Wenn die Option directory verwendet wird, werden nur die in der Datenbank aufgeführten Dateien aktualisiert, die sich in dem angegebenen Verzeichnis befinden
  • Wenn die Option package name verwendet wird, werden ebenfalls nur die Dateien in der

Datenbank aktualisiert, die Teil des angegebenen Pakets sind

  • Der Paketname muss der Basisteil des Namens sein, Versionsnummern sollten nicht enthalten sein – zum Beispiel „coreutils”
  • Paketnamen werden natürlich nur dann in der Dateieigenschaftsdatenbank gespeichert, wenn ein Paketmanager

verwendet wird

  • Wenn ein Paketname mit einem Dateinamen übereinstimmt – beispielsweise könnte „file” sich auf den Befehl „file” oder auf das RPM

-Paket „file” (das den Befehl „file” enthält) beziehen –, wird der Paketname verwendet

  • Wenn keine bestimmte Option angegeben wird, wird die gesamte Datenbank aktualisiert

WARNUNG: Es liegt in der Verantwortung des Benutzers, sicherzustellen, dass die Dateien auf dem System echt sind und aus einer zuverlässigen Quelle stammen

  • rkhunter kann nur melden, ob sich eine Datei geändert hat, aber nicht, was die Änderung verursacht hat
  • Wenn sich also eine Datei geändert hat und die Befehlsoption --propupd verwendet wird, geht rkhunter davon aus, dass die Datei echt ist
--versioncheck Diese Befehlsoption veranlasst rkhunter zu überprüfen, ob eine neuere Version des Programms verfügbar ist
  • Bei Verwendung dieser Option muss ein Befehlszeilen-Webbrowser auf dem System vorhanden sein
  • Wenn diese Option über cron verwendet wird, wird empfohlen, auch die Option --nocolors zu verwenden
  • Ein Exit-Code von Null für diese Befehlsoption bedeutet, dass keine neue Version verfügbar war
  • Ein Exit-Code von eins bedeutet, dass beim Herunterladen der neuesten Versionsnummer ein Fehler aufgetreten ist , und ein Code von zwei bedeutet, dass kein Fehler aufgetreten ist, aber eine neue Version verfügbar ist
-list [tests | {lang | languages} | rootkits | perl | propfiles] Diese Befehlsoption listet einige der unterstützten Funktionen des Programms auf und beendet dann die Ausführung
  • Die Option tests listet die derzeit verfügbaren Testnamen auf (weitere Informationen zu den Testnamen finden Sie in der README-Datei)
  • Die Option languages listet die derzeit verfügbaren Sprachen auf, und die Option rootkits listet die Rootkits auf, nach denen rkhunter sucht
  • Die Option perl listet den Installationsstatus des Befehls perl und der Perl-Module auf, die von einigen der Tests verwendet werden können
  • Beachten Sie, dass die Installation dieser Module nicht erforderlich ist
  • Wenn rkhunter jedoch gezwungen ist, Perl zur Ausführung eines Tests zu verwenden, muss das Modul vorhanden sein
  • Die Option propfiles listet die Dateinamen auf, die zur Erstellung der Dateieigenschaftsdatenbank verwendet werden
  • Wenn keine bestimmte Option angegeben wird, werden alle Listen mit Ausnahme der Dateieigenschaftsdatenbank angezeigt
-C --config-check Diese Befehlsoption bewirkt, dass rkhunter seine Konfigurationsdatei(en) überprüft und dann beendet wird
  • Das Programm führt seine normalen Konfigurationsprüfungen durch, wie sie durch die Optionen enable und disable in der Befehlszeile und in den Konfigurationsdateien festgelegt sind
  • Das heißt, es werden nur die Konfigurationsoptionen für Tests überprüft, die normalerweise ausgeführt würden
  • Um alle konfigurierten Optionen zu überprüfen, verwenden Sie die Optionen --enable all --disable none in der Befehlszeile
  • Zusätzlich überprüft das Programm, ob es nicht erkannte Konfigurationsoptionen gibt
  • Wenn Konfigurationsprobleme gefunden werden, werden diese angezeigt und der Rückgabecode wird auf 1 gesetzt
  • Es wird empfohlen, diese Option immer dann zu verwenden, wenn die Konfigurationsdatei(en) geändert wurden
-V --version Diese Befehlsoption bewirkt, dass rkhunter seine Versionsnummer anzeigt und dann beendet wird
-h --help Diese Befehlsoption zeigt das Hilfemenü an und beendet dann das Programm

Parameter

Umgebungsvariablen

Exit-Status

Wert Beschreibung
0 Erfolg
>0 Fehler

Konfiguration

Dateien

Datei Beschreibung
/etc/rkhunter.conf
/var/log/rkhunter.log


Anhang

Siehe auch

  • See the CHANGELOG file for recent changes
  • The README file has information about installing rkhunter, as well as specific sections on test names and using package managers
  • The FAQ file should also answer some questions

Dokumentation

Man-Page
  1. rkhunter(8)

Links

Projekt

  1. https://rkhunter.sourceforge.net

Weblinks

Abgerufen von „https://wiki.foxtom.de/index.php?title=Rkhunter&oldid=156022