rkhunter — охотник за руткитами

Как известно, злоумышленики в сети не дремлют и ваша система может стать следующей целью их атаки. Один из популярных инструментов для проверки системы на наличие в ней руткитов и прочей подозрительной живности — Rootkit Hunter.

Если ваш мобильный оператор поддерживает услугу email2sms, можно воспользоваться массовой рассылкой смс для уведомления всех системных администраторов о возможном проникновении на сервер. Подробнее об этом дальше в статье.

Пользоваться им довольно просто. Ставим:

gateway:~# apt-get install rkhunter

обновляем базы до актуального состояния:

gateway:~# rkhunter —update

запускаем проверку систему:

gateway:~# rkhunter —check

Результат проверки можно будет потом найти в файле /var/log/rkhunter.log . Также есть возможность отправки подозрительных результатов на почту. Для этого в конфигурационном файле /etc/rkhunter.conf нужно раскомментировать опцию MAIL-ON-WARNING и добавить в неё свой e-mail.

Обновления баз данных rkhunter’а можно запускать по cron’у.

Rootkit Hunter выполняет сигнатурный поиск, поэтому вероятность необнаружения какого-нибудь оригинального руткита очень даже существует. Впрочем, это не значит, что не нужно защищаться вообще.

К сожалению, и, к счастью, не могу продемонстрировать лог захваченной машины, но в недрах интернета такие логи вполне могут существовать, так что если есть желание, можете посмотреть их сами.