chkrootkit – пакет для локальной проверки на предмет наличия rootkit. Пакет включает в себя:

– chkrootkit: shell-скрипт, который проверяет основные системные файлы на предмет изменения/замены их каким либо из с уществующих руткитов.
– ifpromisc.c: проверяет, находится ли интерфейс в promiscuous режиме.
– chklastlog.c: проверяет, не было ли удалений записей из lastlog.
– chkwtmp.c: проверяет, не было ли удалений записей из wtmp.
– check_wtmpx.c: проверяет, не было ли удалений записей из wtmpx. (Только Solaris)
– chkproc.c: проверяет наличие LKM троянов (процессы).
– chkdirs.c: проверяет наличие LKM троянов (каталоги).
– strings.c: проверяет на предмет быстрой и неаккуратной замены данных в файлах.

cd /usr/local/src
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar -zxvf chkrootkit.tar.gz
mkdir /usr/local/chkrootkit
mv /usr/local/src/chkrootkit*/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
make sense


Добавляем ежедневное сканирование

vi /etc/cron.daily/chkrootkit.sh

вставляем следующий текст и соответствено редактируем под себя:

#!/bin/sh
(
/usr/local/chkrootkit/chkrootkit -q
) | /bin/mail -s 'CHROOTKIT Daily Run (PutServerNameHere)' [email protected]

Ставим скрипт на исполнение только для root

chmod 700 /etc/cron.daily/chkrootkit.sh