Rootkit adalah sebuah program atau kombinasi dari beberapa program yang didesain melakukan pengendalian mendasar (dalam hal ini akses root/superuser atau administrator) sebuah sistem komputer, tanpa ada otorisasi dari pemilik sistem dan pengatur keamanan. Biasanya rootkit ditanam oleh para hacker untuk dapat mengendalikan sebuah sistem sesuai kemauan dan waktu yang mereka kehendaki.
Untuk mengetahui apakah sistem kita terkena rootkit atau tidak, kita harus mengeceknya dengan bantuan software-software yang ada. Untuk tutorial kali ini, kita coba gunakan rkhunter.
Sekilas tentang rkhunter
rkhunter atau Rootkit Hunter adalah tool untuk komputer berbasis unix yang ditujukan untuk melakukan scanning sistem dari rootkit, backdoor, dan exploit. Pada dasarnya rkhunter hanyalah sebuah script Shell yang membawa sejumlah modul pengecekan terhadap sistem lokal dan mendeteksi kemungkinan malware yang ada. Versi terbaru dari rkhunter juga telah mampu melakukan deteksi terhadap file startup yang telah dimodifikasi dan melakukan pemeriksaan dan monitoring interface network.
Instalasi rkhunter (contoh di Debian/Ubuntu atau turunannya):
[sourcecode]sudo apt-get install rkhunter[/sourcecode]
Penggunaan rkhunter:
[sourcecode]sudo rkhunter –check[/sourcecode]
Update database rkhunter:
[sourcecode]sudo rkhunter –update[/sourcecode]
Contoh hasil scanning:
[sourcecode]
Checking the local host…
Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]
Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ OK ]
Performing system configuration file checks
Checking for SSH configuration file [ Found ]
Checking if SSH root access is allowed [ Warning ]
Checking if SSH protocol v1 is allowed [ Not allowed ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]
Performing filesystem checks
Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]
[Press <ENTER> to continue]
[/sourcecode]
Referensi:
http://www.rootkit.nl/projects/rootkit_hunter.html