Rkunter y chkrootkit son software que detectan rootkits, backdoors y exploits locales en sistemas Unix y Linux, en mi caso por alguna razón, rkhunter dejo de funcionar en mi servidor, por lo que leí por ahí es un bug en los paquetes de Debian, mas específicamente me arrojaba el siguiente error:

root@server:/#rkhunter --update
Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"

De ahi que me surgio tema para esta entrada, si ya lo tenían instalado y les dejo de funcionar primero hacen los siguiente, de lo contrario se saltan directo a la instalación.

#Lo Desinstalamos incluido la configuracion
sudo apt-get purge rkhunter 

#limpiamos el cache de paquetes de apt
sudo apt-get autoremove 

#Actualizamos la db de apt
sudo apt-get update
 

Si ya lo desinstalamos o lo vamos ha instalar por primera vez hacemos lo siguiente:

#Yo prefiero siempre usar /tmp pero pueden 
#hacerlo en la carpeta que quieran, la ventaja 
#/tmp que se borra en el siguiente renicio
#y no van a quedan los archivos si nos 
#olvidamos de eliminarlos
cd /tmp

#Descargamos el fichero
wget https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz/

#Lo descomprimimos
tar -zxf rkhunter-1.4.4.tar.gz

#Entramos a la carpeta
cd rkhunter-1.4.4/

#Lo instalamos
sudo ./installer.sh --install

#Actualizamos la base de datos
sudo rkhunter --update 

#Ya lo tenemos pronto para usarlo, mostara una lista con 
#todas las comprobaciones que haga.
sudo rkhunter --check

Para instalar chkrootkit es sencillo:


sudo apt-get install chkrootkit

Para ejecutarlo


#Al igual que el scanner anterior este mostrara
#una lista completa de todas las verificacines que
#haga
sudo chkrootkit

#Un parámetro practico es -q, solo mostrara los infectados
sudo chkrootkit -q

NOTA IMPORTANTE: Si ustedes tienen instalado un servidor de correo en el puerto 465 se los indicara como infectado, tranquilos mientras realmente tengan un servicio de correo ahí no tendrán problemas, es solo un falso positivo.

2 comentarios

  1. Hola, qué tal!
    Recién instalé vía apt en Debian 9 Stretch el RKHunter y al hacer el update se presentó el bug tratado aquí. Seguí todos los pasos y problema resuelto. Excelente solución! Gracias por el aporte.
    Saludos desde México.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *