Soit avec chkrootkit, soit avec rkhunter.
chkrootkit
Soit installez le paquet fourni avec votre distribution (sur Debian vous exécuteriez
apt-get install chkrootkit
), ou téléchargez les sources depuis www.chkrootkit.org et installez-les manuellement :
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-<version>/
make sense
Ensuite, vous pouvez déplacer le répertoire chkrootkit ailleurs, par ex. /usr/local/chkrootkit :
cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit
Vous pouvez maintenant exécuter chkrootkit manuellement :
cd /usr/local/chkrootkit
./chkrootkit
(si vous avez installé un paquet chkrootkit fourni avec votre distribution, votre chkrootkit peut être ailleurs).
Vous pouvez même exécuter chkrootkit par une tâche cron et recevoir les résultats par e-mail :
Exécuter
crontab -e
pour créer une tâche cron comme celle-ci :
0 3 * * * (cd /usr/local/chkrootkit-<version>; ./chkrootkit 2>&1 | mail -s "chkrootkit output my server" [email protected])
Cela exécuterait chkrootkit tous les soirs à 3h00.
rkhunter
Téléchargez les dernières sources de rkhunter sur www.rootkit.nl :
wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
tar xvfz rkhunter-1.2.7.tar.gz
cd rkhunter/
./installer.sh
Cela installera rkhunter dans le répertoire /usr/local/rkhunter. Maintenant lancez
rkhunter --update
pour télécharger les dernières signatures chkrootkit/trojan/worm (vous devriez le faire régulièrement).
Vous pouvez désormais analyser votre système à la recherche de logiciels malveillants en exécutant
rkhunter -c