Rkhunter : Un détecteur de Rootkit indispensable sous Linux
Rkhunter est un outil assez peu connu des administrateurs système, c'est pourtant un excellent outil simple d'installation et d'utilisation pour détecter une intrusion sur une machine Linux.
Rkhunter est très simple et se contente de prendre des empreintes des binaires sur le serveur et de s'assurer que ces binaires n'ont pas été modifiés depuis la dernière analyse.
Au-delà de cette vérification d'empreintes, Rkhunter recherche certains patterns / traces permettant d'identifier la présence d'un Rootkit sur un système Linux (ports, présence de fichiers ...)
Mais au fait, un RootKit c'est quoi ? C'est un outil utilisé par un pirate informatique pour s'introduire sur un système informatique pour en prendre son contrôle.
Sur la majorité des systèmes, vous trouverez Rkhunter disponible en standard sous forme de package. Sur Ubuntu, il a même sa propre page Wiki dédiée que je vous invite à lire si vous souhaitez installer cet outil et l'utiliser sur vos serveurs Linux.
Quelques commandes à connaitre:
Lister les différents tests effectués :
sudo rkhunter --list
Mettre à jour le catalogue de tests :
sudo rkhunter --update
Effectuer une vérification complète :
sudo rkhunter --checkall
Effectuer une mise à jour du catalogue d'empreintes à ne pas oublier après chaque mise à jour du système :
sudo rkhunter --propupd
Sur Ubuntu, en modifiant le fichier "/etc/default/rkhunter" et en positionnant à "yes" la propriété suivante : CRON_DAILY_RUN, vous pourrez ainsi automatiser les tests de manière journalière ce qui vous permettra de recevoir automatiquement un email au moindre changement du système.
Bonne chasse aux Rootkits !