Ein paar Tipps zu RKHunter (Rootkit-Hunter für Linux)

 

Update von rootkit-hunter:

Download von Sourceforge

/installer.sh –layout /usr –install

 

 

Einige Befehle für den rootkit-hunter:

rkhunter –update
Update der bad-hash Datenbank

 

 

rkhunter –propupd

Erstellt die Prüfsummen neu. Wichtig wenn Updates eingespielt wurden.

With our database files refreshed, we can set our baseline file properties so that rkhunter can alert us if any of the essential configuration files it tracks are altered. We need to tell rkhunter to check the current values and store them as known-good values:

rkhunter –versioncheck
Update der Scan-Engine bzw Prüfung ob neuere Version vorhanden

 

rkhunter -c

Scan durchführen

 

 

Fehlalarme beseitigen:

Das Funktionsprinzip von rkhunter erfordert das man erst einmal einen Scan auf einem bestenfalls frisch installiertem System durchführt.
Anschliessend geht man die Warnungen im Scan-Protokoll /var/log/rkhunter.log durch und deaktiviert die Fehlalarme in der Konfiguration per Whitelist.

 

Der Xzibit-Rootkit liefert leider Fehlalarme, Abhilfe:

http://machine-cycle.blogspot.de/2011/03/getting-rid-of-rkhunters-false-warning.html

 

Meckert rkhunter über versteckte Verzeichnisse kann man diese in der /etc/rkhunter.conf whitelisten:

# Allow the specified hidden directories.

# One directory per line (use multiple ALLOWHIDDENDIR lines).

#

#ALLOWHIDDENDIR=/etc/.java

ALLOWHIDDENDIR=/dev/.udev

#ALLOWHIDDENDIR=/dev/.udevdb

#ALLOWHIDDENDIR=/dev/.udev.tdb

 

 

bzw auch Files:
Warning Suspicious File-Types in .udev

Abhilfe:

ALLOWDEVFILE=/dev/.udev/db/block*
   ALLOWDEVFILE=/dev/.udev/db/class*
   ALLOWDEVFILE=/dev/.udev/uevent_seqnum