rkhunter (Rootkit Hunter) installieren und benutzen

rkhunter (Rootkit Hunter)  ist ein Programm, das im System nach kompromittierten Dateien sucht.
rkhunter ist kein Einsteiger-Tool, sondern richtet sich an Endnutzer mit Betriebssystem Kenntnissen.

Eine gute Doku zur Installation und Nutzung

Kurzanleitung:

  1. rkhunter –update  oder
    Damit man die aktuellen “Signaturen” der zu prüfenden Dateien hat.
    Wichtig: Wenn man rkhunter selber kompiliert oder als Archiv heruntergeladen hat, also nicht über die Paketverwaltung installiert hat, muss man hierfür das Kommando rkhunter –propupd verwenden.
  2. rkhunter -c
    Rechner auf unerwünschte Dateien wie Rootkits, Backdoors und Konfigurations-Fehler prüfen.

Nachdem die -hoffentlich Ergebnislose- Prüfung komplett durchgelaufen ist, erhält man unter Ubuntu folgende Warnung(en):

[22:01:00] Checking for hidden files and directories [ Warning ]
[22:01:00] Warning: Hidden directory found: /dev/.static
[22:01:00] Warning: Hidden directory found: /dev/.udev
[22:01:00] Warning: Hidden directory found: /dev/.initramfs

Ursache:
Diese Warnungen kommen daher, dass das Paket nicht 100%ig an Ubuntu angepasst wurde. Es ist also kein Grund zu Panik.

Lösung:
Man sucht in der Config-Datei /etc/rkhunter.conf nach den Zeilen:

ALLOWHIDDENDIR=/etc/.java
ALLOWHIDDENDIR=/dev/.udev
ALLOWHIDDENDIR=/dev/.udevdb
ALLOWHIDDENDIR=/dev/.udev.tdb
ALLOWHIDDENDIR=/dev/.static
ALLOWHIDDENDIR=/dev/.initramfs

und entfernt in diesen Zeilen das Kommetar-Zeichen.
Danach ist man die nervigen Mails los.

0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert