RootKitHunter, mejor conocido como RKHunter, es un programa de ciberseguridad bastante utilizado en las actividades de hardening para sistemas y la detección de archivos maliciosos. Básicamente su función consta de realizar un escaneo bastante profundo a nuestro sistema de archivos con el fin de detectar posibles virus troyanos, gusanos informáticos, spywares, etc., así como de proporcionar una serie de recomendaciones de seguridad.
1) RKHunter es un paquete que podrás hallar disponible para casi cualquier distribución de GNU/Linux; en mi caso utilizo Debian, así que el comando de instalación tanto para Debian como para sus derivadas (Ubuntu, Mint, MX, Devuan, Peppermint, etc.) es el siguiente:
sudo apt-get install rkhunter
2) Lo siguiente es actualizar la base de datos de RKHunter, sin embargo, para ello primero debemos realizar una serie de ajustes a su archivo de configuración. Primero accedemos a éste con el siguiente commando:
sudo nano /etc/rkhunter.conf
3) Ahora es momento de cambiar algunas directivas del programa; en nano con la combinación de teclas "control + w" entraremos en el modo de busqueda, así que ingresaremos lo siguiente: WEB_CMD="/bin/false" y daremos a enter para ir hasta esa entrada exacta dentro del archivo. Una vez posicionados en la línea la modificaremos para que quede de la sig. manera:
WEB_CMD=""
De nuevo entraremos en modo de busqueda ("control + w") y buscaremos lo siguiente: UPDATE_MIRRORS=0, para que, al modificarla quede como:
UPDATE_MIRRORS=1
Y por último buscaremos MIRRORS_MODE=1 para que quede de esta forma:
MIRRORS_MODE=0
Guardamos y salimos, y una vez fuera de nano podemos ahora sí actualizar nuestra base de datos de RKHunter:
sudo rkhunter --update
Para lanzar RKHunter debemos ejecutar el siguiente comando:
sudo rkhunter --check
El escaneo de RKHunter suele ser algo tardado, entre 5 y 15 minutos según factores como los recursos de la PC, elementos a revisar, etc. Cuando se nos pida continuar sólo debemos pulsar enter y listo, esto hasta que el programa termine de realizar su función. Ya que el chequeo ha finalizado solo queda revisar los registros del programa con el comando grep, para filtrar los resultados más importantes del log, en este caso los de advertencia o warning:
grep Warning: /var/log/rkhunter.log