RootKit Hunter (RKH) — сканер руткитов, специализированная консольная Perl утилита для проверки локальной системы на различные виды потенциальных уязвимостей.
Руткит (rootkit) — набор исполняемых файлов, скриптов и конфигурационных файлов устанавливаемых злоумышленником на взломанной системе и обеспечивающих маскировку внедрённых объектов (процессов, файлов, каталогов и пр), управление событиям (происходящими в системе) и сбор данных (о параметрах и действиях в системе).
RootKit Hunter (rkhunter) пригодится если есть подозрение что к компьютеру имел доступ кто то посторонний и на компьютере (или сервере) внезапно начала происходить некая посторонняя активность, наблюдается повышенная нагрузка которую непонятно что создаёт, или имеется прочая неконтролируемая деятельность.
RootKit Hunter имеет свою регулярно обновляемую базу для обнаружения руткитов (бэкдоров и эксполитов), по заданным параметрам проводит проверку и выявление изменений в установленных приложениях и файлах конфигурации, сканирует приложения "слушающие" сетевые интерфейсы и прочее...
Настройка RootKit Hunter осуществляется правкой конфигурационного файла (/etc/rkhunter.conf), настроек имеется множество, но для большинства пользователей достаточно настроек "по умолчанию". При первом запуске будет проведена проверка системы на предмет совместимости и корректности работы (выполнение команд 'cat', 'sed', 'head', 'tail' и др), а также на наличие необходимых утилит (stat, readlink, md5/md5sum или sha1/sha1sum, wget или curl, e/links или lynx).
При отсутствии (исправлении) проблем с совместимостью обновляется база данных RootKit Hunter и опционально создаётся снимок состояния установленной системы (создание базы данных о текущих файлах, чтобы было с чем сравнивать). Необходимо быть уверенным что система "чистая", в идеале создание базы данных надо выполнить сразу после установки и настройки системы.
При проведении тестирования RootKit Hunter выводит различные сообщения по каждому из пунктов проверок, по окончании сканирования кратко выводится итоговая информация о проверке системы. Вся выводимая информация с дополнительными подробностями сохраняется в лог-файле (/var/log/rkhunter.log).
RootKit Hunter может автоматически проверять систему (используя CRON) и о найденных проблемах сообщать на электронную почту. После каждого обновления системы и/или правки конфигурационных файлов необходимо пересоздать снимок состояния системы (для того чтобы избежать ложных срабатываний), базу руткитов рекомендуется обновлять не слишком часто.
Лицензия: GNU General Public License version 2.0 (GPLv2)
