RKhunter

Siehe: https://www.tecmint.com/scan-linux-for-malware-and-rootkits/ und https://wiki.ubuntuusers.de/rkhunter/

Installation

sudo apt install rkhunter

Updaten und Versionscheck

rkhunter --update && rkhunter --propupd
rkhunter --versioncheck

Erster Scan

rkhunter --propupd
rkhunter -c

In cron eintragen

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com

Diese Option ist nicht zu empfehlen, da die Updates immer manuell ausgeführt werden müssen. Besser wir bauen uns ein Script

Script

vim /etc/cron.daily/rkhunter.sh

mit dem Inhalt:
Version 1.0: 

#!/bin/bash
 
MAILADRESSE=andre@creutz.net
 
rkhunter --update --nocolors --nolog
{
rkhunter --versioncheck --lang de --nolog --sk --nocolors |grep -B 3 "Update"
rkhunter --checkall --report-warnings-only --lang de --sk
} | mail -s "Rkhunter Ergebnis von $HOSTNAME" $MAILADRESSE

Neue Version 1.1: 

#!/bin/sh
 
OUTPUT=`/usr/bin/rkhunter --update --cronjob --report-warnings-only --nocolors --skip-keypress`
 
if [ "$OUTPUT" != "" ]
then
    echo -e "$OUTPUT" > /tmp/rkhunter_warnings.txt
    echo "Please inspect this machine, because it may be infected." | mail -s "[rkhunter] Warnings found for $(hostname)" -a /tmp/rkhunter_warnings.txt andre@creutz.net
fi

…in der letzten Zeile natürlich Servername und meine@mailadresse durch sinnvolle Einträge tauschen :)
Die Datei noch ausführbar machen 

chmod 755 /etc/cron.daily/rkhunter.sh

und wir bekommen täglich eine Mail mit dem Scanbericht.

Nach einigen Iterationen

Nach einigen Ergebnissen kristalisieren sich Ergebnisse heraus, die nicht „meldewürdig“ sind. In der Datei 

/etc/rkhunter.conf

können Ordner und Funktionen vom Scanvorgang ausgeschlossen werden und andere Einstellungen vorgenommen werden, wie eine Mailadresse: 

MAIL-ON-WARNING="root"

Siehe: https://www.maffert.net/rkhunter-rootkit-hunter-auf-debian-installieren/

Warnungen

Wenn eine Mail mit Warnungen gesendet wird: 

sudo rkhunter -c --rwo      # Gibt nur die Warnungen aus

Das Ergebnis steht auch in /var/log/rkhunter.log 

cat /var/log/rkhunter.log|grep Warnung
cat /tmp/rkhunter_warnings.txt

Können die Warnungen ignoriert werden, wird ein DB-Update durchgeführt.

DB Update nach Systemaktualisierung oder manueller Änderung

Wenn ich an Konfigurationsdateien manuell Änderungen vornehme oder ein Systemupdate anstoße, kann es vorkommen, dass rkhunter danach Warnungen ausspuckt 

Warnung: Dateieigenschaften haben sich geändert:

Dies behebt man mit folgenden Befehlen: 

# rkhunter --update
[ Rootkit Hunter version 1.4.0 ]
 
Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ No update ]
  Checking file i18n/tr.utf8                                 [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]
# rkhunter --propupd
File updated: searched for 177 files, found 150