O con chkrootkit o con rkhunter.
chkrootkit
O installa il pacchetto fornito con la tua distribuzione (su Debian avresti eseguito
apt-get install chkrootkit
), oppure scaricare i sorgenti da www.chkrootkit.org e installarli manualmente:
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-<version>/
make sense
Successivamente, puoi spostare la directory chkrootkit da qualche altra parte, ad es. /usr/local/chkrootkit:
cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit
Ora puoi eseguire chkrootkit manualmente:
cd /usr/local/chkrootkit
./chkrootkit
(se hai installato un pacchetto chkrootkit fornito con la tua distribuzione, il tuo chkrootkit potrebbe essere da qualche altra parte).
Puoi anche eseguire chkrootkit da un cron job e ricevere i risultati via email:
Corri
crontab -e
per creare un cron job come questo:
0 3 * * * (cd /usr/local/chkrootkit-<version>; ./chkrootkit 2>&1 | mail -s "chkrootkit output my server" [email protected])
Ciò eseguirebbe chkrootkit ogni notte alle 3:00.
rkhunter
Scarica le ultime fonti di rkhunter da www.rootkit.nl:
wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
tar xvfz rkhunter-1.2.7.tar.gz
cd rkhunter/
./installer.sh
Questo installerà rkhunter nella directory /usr/local/rkhunter. Ora corri
rkhunter --update
per scaricare le ultime firme di chkrootkit/trojan/worm (dovresti farlo regolarmente).
Ora puoi scansionare il tuo sistema alla ricerca di malware eseguendo
rkhunter -c