Es ist sehr schwierig herauszufinden, ob ein Root-Server von einem Rootkit befallen ist. Hierfür gibt es rkhunter womit Sie den Server auf Rootkits überprüfen beziehungsweise überwachen können.
Mit rkhunter können Sie einen Befall von Rootkit frühzeitig bemerken und gegebenenfalls weitere Maßnahmen einleiten. Um rkhunter unter Debian (z.b.: Lenny ) zu installieren, gehen Sie folgendermaßen vor.
- Loggen Sie sich mit Puty auf ihren Root-Server ein.
- Führen Sie den Befehl:
apt-get install rkhunter
aus. Danach wird rkhunter automatisch auf ihren Server installiert. - Nach den die Installation von rkhunter abgeschlossen ist, müssen Sie rkhunter auf den neusten Stand bringen. Dies machen Sie mit dem Befehl:
rkhunter --propupd - Nun prüfen Sie mit dem Befehl:
rkhunter -c
ob das System bereits befallen ist. Wenn der Test erfolgreich ausgeführt wurde, bekommen Sie in Puty eine Berichtsmeldung. - Damit rkhunter regelmäßig das System überprüft führen Sie folgenden Befehl aus:
rkhunter -c --cronjob
Es wird nun immer regelmäßig ein Test des System ausgeführt. Die Berichtsmeldung finden Sie unter /var/log/rkhunter.log. Sie können sich natürlich auch per E-Mail benachrichtigen, hierzu müssen Sie die Datei /etc/rkhunter.conf bearbeiten. Um eine automatische Benachrichtigung zu aktivieren müssen, Sie den Parameter MAIL-ON-WARNING= anpassen.