Rkhunter

rkhunter est un programme anti-rootkit, fonctionnant sur Linux. Il permet de vérifier l'intégrité des principaux fichiers système (dont les commandes principales) et de s'assurer qu'aucun des principaux rootkits n'est pas installé sur le système concerné.

Installation

Sur Ubuntu, le paquet est inclus dans la distribution de base. Il suffit donc de taper :

sudo apt install rkhunter

Pour lancer une analyse, c'est aussi assez simple :

sudo rkhunter -c

Quelques remarques

Il faut tout d'abord s'assurer de la mise-à-jour de l'outil, car les techniques d'attaque évoluent.

sudo rkhunter --update

Ensuite, il faut garder à l'esprit qu'un rootkit va chercher à se dissimuler, et que certains vont chercher à corrompre rkhunter pour qu'il affiche que tout va bien ! Idéalement, l'intégrité de l'outil lui-même doit être vérifiée (ainsi que de sa base de référence), manuellement, par exemple. On peut aussi réinstaller l'outil à chaque lancement, à partir du site de référence. C'est très fastidieux, mais très utile.

Au 11 avril 2018, la signature de la version 1.4.6 était :

-----BEGIN PGP SIGNATURE-----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=aA1j
-----END PGP SIGNATURE-----

L'identité PGP du signataire était 0xe9c5dc50d13aaa83.

Site officiel