Ceci est une ancienne révision du document !



Rkhunter

Qu'est ce que rkhunter ?

rkhunter (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Ainsi, il peut détecter les répertoires généralement utilisés par les rootkit, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à Linux et FreeBSD.

Rappelons cependant qu'en 2004, des chercheurs chinois, Xiaoyun Wang, Dengguo Feng, Xuejia Lai et Hongbo Yu, ont démontré qu'on pouvait créer des fichiers distincts de même signature MD5 en raison d'une propriété d'invariance mathématique de ce procédé.

La configuration de rkhunter se trouve dans le fichier /etc/rkhunter.conf.

Vérifier que vous avez la dernière version :

sudo rkhunter --versioncheck

Mettre à jour le programme :

sudo rkhunter --update

Lister les différents tests effectué :

sudo rkhunter --list

Effectuer une vérification :

sudo rkhunter --checkall

Pour supprimer cette application, il suffit de supprimer son paquet. La configuration de l'application sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez.

  • rkhunter.1257804582.txt.gz
  • Dernière modification: Le 18/04/2011, 14:53
  • (modification externe)