Ya sea con chkrootkit o con rkhunter.
chkrootkit
Instale el paquete que viene con su distribución (en Debian ejecutaría
apt-get install chkrootkit
), o descargue las fuentes de www.chkrootkit.org e instálelas manualmente:
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-<version>/
make sense
Luego, puede mover el directorio chkrootkit a otro lugar, p. /usr/local/chkrootkit:
cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit
Ahora puede ejecutar chkrootkit manualmente:
cd /usr/local/chkrootkit
./chkrootkit
(si instaló un paquete chkrootkit que viene con su distribución, su chkrootkit podría estar en otro lugar).
Incluso puede ejecutar chkrootkit mediante un trabajo cron y recibir los resultados por correo electrónico:
Ejecutar
crontab -e
para crear un trabajo cron como este:
0 3 * * * (cd /usr/local/chkrootkit-<version>; ./chkrootkit 2>&1 | mail -s "chkrootkit output my server" [email protected])
Eso ejecutaría chkrootkit todas las noches a las 3:00 h.
rkhunter
Descargue las últimas fuentes de rkhunter de www.rootkit.nl:
wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
tar xvfz rkhunter-1.2.7.tar.gz
cd rkhunter/
./installer.sh
Esto instalará rkhunter en el directorio /usr/local/rkhunter. Ahora corre
rkhunter --update
para descargar las últimas firmas de chkrootkit/trojan/worm (debe hacer esto regularmente).
Ahora puede escanear su sistema en busca de malware ejecutando
rkhunter -c