TOOLinux

Le journal du Libre

Le logiciel de la semaine : rkHunter

vendredi 7 août 2015

1. Présentation

RkHunter (Rootkit Hunter) est un logiciel de sécurité pour systèmes Unix qui permet de chercher des rootkits, portes dérobées et autres exploits. Son développement a commencé en 2006, initié par M. Boelen Handed.

2. Configuration

Le fichier de configuration se trouve dans /etc/rkhunter.conf

Il est conseillé de décommenter ces lignes pour éviter des faux positifs :

ALLOWHIDDENDIR=/dev/.udev

ALLOWHIDDENDIR=/dev/.static

Vous pouvez aussi renseigner une adresse mail afin de recevoir les rapports en cas de problèmes :

MAIL-ON-WARNING=admin@mail.com

Après chaque mises à jour du système, utilisez ces commandes afin de mettre à jour rkhunter :

rkhunter –update

rkhunter –propupdate

3. Fonctionnement

Afin de détecter d’éventuels logiciels malveillants, il analyse et compare le hash (SHA, MD5) des fichiers importants du système et les compare à une liste d’empreintes en ligne. Ceci lui permet alors de détecter des changements dans les permissions, des fichiers cachés ou des chaînes inhabituelles dans le noyau.

4. Lancement d’un scan

On créé d’abord la première base de données :

rkhunter —propupd

On vérifie la version de RkHunter :

rkhunter —versioncheck

On met à jour la base de données si besoin :

rkhunter —update

On lance le scan :

rkhunter —check

Le rapport généré en fin de scan est le suivant :

En fin de scan, un rapport est affiché, mais disponible aussi dans le dossier de rkHunter, listant les diverses vérifications effectuées ainsi que leurs résultats, pour vérifier que tout est normal, ou pour prévenir qu’un problème a été trouvé.

A.A.