Entweder mit chkrootkit oder mit rkhunter.
chkrootkit
Installieren Sie entweder das Paket, das mit Ihrer Distribution geliefert wird (unter Debian würden Sie
apt-get install chkrootkit
), oder laden Sie die Quellen von www.chkrootkit.org herunter und installieren Sie sie manuell:
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-<version>/
make sense
Anschließend können Sie das chkrootkit-Verzeichnis an einen anderen Ort verschieben, z. /usr/local/chkrootkit:
cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit
Jetzt können Sie chkrootkit manuell ausführen:
cd /usr/local/chkrootkit
./chkrootkit
(Wenn Sie ein chkrootkit-Paket installiert haben, das mit Ihrer Distribution geliefert wird, befindet sich Ihr chkrootkit möglicherweise woanders).
Sie können chkrootkit sogar über einen Cron-Job ausführen und erhalten die Ergebnisse per E-Mail:
Ausführen
crontab -e
So erstellen Sie einen Cron-Job:
0 3 * * * (cd /usr/local/chkrootkit-<version>; ./chkrootkit 2>&1 | mail -s "chkrootkit output my server" [email protected])
Das würde chkrootkit jede Nacht um 3:00 Uhr ausführen.
rkhunter
Laden Sie die neuesten rkhunter-Quellen von www.rootkit.nl herunter:
wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
tar xvfz rkhunter-1.2.7.tar.gz
cd rkhunter/
./installer.sh
Dadurch wird rkhunter im Verzeichnis /usr/local/rkhunter installiert. Jetzt ausführen
rkhunter --update
um die neuesten Chkrootkit-/Trojaner-/Wurm-Signaturen herunterzuladen (Sie sollten dies regelmäßig tun).
Jetzt können Sie Ihr System auf Malware scannen, indem Sie
ausführenrkhunter -c