Ho pensato di realizzare uno scrip, basato sul tool chkrootkit, in grado di automatizzare la ricerca di eventuali rootkit presenti sul mio server, con successivo invio di un report via email.

Per prima cosa occorre installare il suddetto tool, mediante il comando:

nightfly@nightbox:~$ sudo apt-get install chkrootkit

Una volta fatto ciò, è necessario creare il file rootkitcheck il cui contenuto dovrà essere il seguente:

#!/bin/bash

destinatario= vostro.indirizzo@email.it

logfile=/var/log/rootkit.log

ROOT_UID=0

if [ "$UID" -ne "$ROOT_UID" ];then

        ERRORE1="Errore 1: Devi essere root per eseguire lo scrip"
        echo $ERRORE1
        echo "$(date) $ERRORE1" >> $logfile

        exit 1

fi

chkrootkit > temp_rootkit;

cat temp_rootkit | mail -iv -s "HOME: Esito scansione rootkit" $destinatario;

rm temp_rootkit;

exit 0

Rendiamo eseguibile il file appena creato mediante il comando:

nightfly@nightbox:~$ sudo chmod +x rootkitcheck

ed infine aggiungiamo la seguente stringa a cron, in modo da effettuare la scansione ogni lunedì:

00  00    * * 1   root    cd /home/nightfly/ && ./rootkitcheck > /dev/null 2>&1

Ed abbiamo finito.

A presto.