🛡️ Rootkit Hunter (rkhunter) – Guida Completa
rkhunter Rootkit Hunter è uno strumento open-source che rileva rootkit, backdoor e possibili exploit noti su sistemi basati su UNIX/Linux. Analizza i file di sistema, le proprietà delle directory, i p
🛡️ Rootkit Hunter (rkhunter) – Guida Completa
📌 Cos’è rkhunter?
rkhunter (Rootkit Hunter) è uno strumento open-source che rileva rootkit, backdoor e possibili exploit noti su sistemi basati su UNIX/Linux. Analizza i file di sistema, le proprietà delle directory, i permessi, i checksum e controlla segnali di compromissione (IoC).
✅ Ideale in fase di Post Exploitation Analysis o come parte di una checklist di sicurezza proattiva.
🔧 Installazione
Debian/Ubuntu:
sudo apt update sudo apt install rkhunterRHEL/CentOS:
sudo yum install epel-release sudo yum install rkhunterArch Linux:
sudo pacman -S rkhunter🛠️ Comandi Principali
🔍 Eseguire una scansione completa:
sudo rkhunter --check🧪 Verifica interattiva:
Il tool mostrerà risultati a schermo e chiederà conferma a ogni step. Se vuoi automatizzare:
sudo rkhunter --check --sk📥 Aggiornare i database (versioni, rootkit signatures):
sudo rkhunter --update🏗️ Creare o aggiornare il database dei file legittimi:
Dopo una fresh install o una modifica rilevante al sistema:
sudo rkhunter --propupd⚠️ Esegui questo comando solo quando sei certo che il sistema non è compromesso, altrimenti salverai uno stato compromesso come "baseline".
📂 Output dei Risultati
I log vengono salvati in:
/var/log/rkhunter.logPuoi visualizzarli con:
cat /var/log/rkhunter.log | lessOppure cercare solo le anomalie:
grep WARNING /var/log/rkhunter.log🎯 Cosa Controlla rkhunter?
| Componente | Verifica |
| Rootkit noti | Matching con un database aggiornato di rootkit |
| Permessi binari | File di sistema con permessi anomali |
| Checksum | Confronto MD5/SHA dei file di sistema |
| Port Knocking | Porte nascoste, backdoor su servizi |
| Hidden files | File/directory nascosti (es. .xyz) in percorsi critici |
| Networking | Servizi in ascolto su porte inusuali |
| Cron Jobs | Anomalie nei crontab di sistema |
| Startup files | Modifiche sospette a /etc/rc. e /etc/init.d |
⚙️ Configurazione Avanzata
Il file principale di configurazione:
/etc/rkhunter.confPuoi personalizzare:
- Ignorare falsi positivi (es. tools da pentester)
- Aggiungere whitelist
- Cambiare l'URL dei mirror di aggiornamento
Esempio: escludere /usr/bin/nmap
ALLOWHIDDENDIR=/usr/bin/nmap🧩 Integrazione in Sistemi di Sicurezza
Puoi automatizzare rkhunter con cron o integrarlo con SIEM/alerting (es. Logwatch, Logcheck, Splunk, ELK).
Esempio cronjob giornaliero:
0 2 /usr/bin/rkhunter --check --sk > /var/log/rkhunter_check.log 2>&1🚨 Best Practice
| Best Practice | Descrizione |
| 🔐 Propupd post-install | Dopo la prima installazione per creare baseline |
| 📅 Scan periodiche | Minimo settimanali o dopo aggiornamenti |
| 🔄 Aggiorna il DB regolarmente | Per ricevere firme rootkit aggiornate |
| ❗ Analizza i log e warning | Ogni warning va verificato manualmente |
| ⚙️ Customizza la whitelist | Evita falsi positivi su tool legittimi da pentest |
🧠 Considerazioni per Pentester
- Se trovi
rkhunterinstallato sul target, tieni conto che il sistema potrebbe generare alert in automatico.
- Durante la post-exploitation, valuta di falsare il log di
rkhuntero ritardare la scansione con un job posticipato.
- È uno strumento utile anche in fase di Hardening, quando prepari un ambiente _pristine_ per esercitazioni CTF o per clienti.
📎 Conclusione
rkhunter è un alleato solido nel contesto della difesa del sistema Linux, ma anche un utile riferimento durante analisi post-exploitation o blue team assessment. La sua efficacia aumenta se integrato in pipeline CI/CD di sicurezza o con sistemi SIEM.