rkhunter (Rootkit Hunter) ist ein Linux-Tool, welches nach Rootkits, Hintertüren und möglichen lokalen Exploits sucht. Dabei vergleicht es vorhandene Dateien anhand von MD5-hashes mit kompromittierten Dateien, sucht nach von Rootkits angelegten Ordnern, falschen Dateirechten, versteckten Dateien, verdächtigen Strings in Kernelmodulen und führt eine Reihe weiterer Tests durch.

Die Installation funktioniert unter Debian einfach durch:

apt-get install rkhunter

Das Paket installiert automatisch ein Skript, das regelmäßig von cron aufgerufen wird und das System prüft. Ebenso aktualisiert das es seine Rootkit-Definitionen selbsttätig in regelmäßigen Abständen (siehe auch /etc/default/rkhunter).

Jetzt kann man das komplette System mit folgendem Befehl scannen:

rkhunter -c

Einige Parameter:

• -c
  kompletter System-Scan
• --display-logfile
  zeigt eine Zusammenfassung des Scans am Ende
• --skip-keypress
  man muss zwischen den einzelnen Scan-Abschnitten nicht mehr Enter drücken
• --update
  führt ein Update der known-bad Hash-Datenbank durch
• --propupd
  führt ein Update der known-good Hash-Datenbank durch (nur bei der manuell installierten Version bzw. > 1.3 möglich )

Alleine durch die Benutzung von rkhunter kann nicht garantiert werden, dass sich nicht doch ein Rootkit auf dem System befindet. Die Anwendung von nur einem einzigen Tool ist nicht sehr effektiv, da ein Autor sein Rootkit dagegen immun gemacht haben könnte. Es sollten immer noch weitere Tests durchgeführt werden, wie zum Beispiel mit chkrootkit bzw. andere Maßnahmen vorgenommen werden. Desweiteren sollte rkhunter, um dessen Integrität und damit die Verlässlichkeit sicherzustellen, immer von einem 100%ig unkompromitierten System ausgeführt werden, wie zB einer Live-CD.