RKHunter

Achtergrondinformatie

• RKHunter (Rootkit Hunter): een intrusion detection tool die het systeem controleert op rootkits, backdoors en lokale exploits.
  Het scant bestanden, systeemcommando’s en configuraties om verdachte of gemodificeerde onderdelen te detecteren.

• Beveiligingsfunctie: RKHunter vergelijkt de huidige systeemstatus met bekende veilige referenties.
  Het kan o.a. verdachte bestandsrechten, verborgen bestanden, afwijkende kernelmodules en verdachte strings opsporen.

• Voordeel: helpt bij het vroegtijdig signaleren van malware en rootkits die traditionele virusscanners soms missen.
  Het is lichtgewicht, eenvoudig te draaien via cronjobs, en genereert duidelijke rapporten (bijv. in /var/log/rkhunter.log).

Alternatieven

• Chkrootkit (sneller maar minder uitgebreid; controleert op bekende rootkits)
• Lynis (meer een algemene security-audit tool, breder dan alleen rootkits)
• OSSEC (geavanceerde HIDS – Host-based Intrusion Detection System – met log monitoring en actieve respons)

---

1. Controleren of RKHunter al aanwezig is

rkhunter --version

📄 Voorbeeld output

Rootkit Hunter 1.4.6

This software was developed by the Rootkit Hunter project team.
Please review your rkhunter configuration files before using.
Please review the documentation before posting bug reports or questions.
To report bugs, provide patches or comments, please go to:
http://rkhunter.sourceforge.net

To ask questions about rkhunter, please use the rkhunter-users mailing list.
Note this is a moderated list: please subscribe before posting.

Rootkit Hunter comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it under the
terms of the GNU General Public License. See the LICENSE file for details.

Handleiding

man rkhunter

---

2. Installatie

sudo apt update
sudo apt install -y rkhunter

Voorbeeld output

  Reading package lists... Done
  Building dependency tree       
  Reading state information... Done
  The following NEW packages will be installed:
    rkhunter
  0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
  Need to get 450 kB of archives.
  After this operation, 2,200 kB of additional disk space will be used.
  Selecting previously unselected package rkhunter.
  (Reading database ... 105000 files and directories currently installed.)
  Preparing to unpack .../archives/rkhunter_1.4.6-1_all.deb ...
  Unpacking rkhunter (1.4.6-1) ...
  Setting up rkhunter (1.4.6-1) ...
  Processing triggers for man-db (2.10.2-1) ...

---

3. RKHunter beheren

In tegenstelling tot Fail2ban draait RKHunter niet als een permanente service, maar wordt het on-demand uitgevoerd om het systeem te scannen op rootkits en verdachte bestanden. Je kunt het handmatig uitvoeren of automatiseren via cronjobs. Hieronder de belangrijkste commando’s:

• Commando’s

  sudo rkhunter --propupd
  

  - Werkt de referentiedatabase bij (nodig na installatie of updates van het systeem).

  sudo rkhunter --check
  

  - Start een volledige scan van het systeem en toont resultaten interactief.

  sudo rkhunter --check --rwo
  

  - Voert een scan uit en toont alleen de waarschuwingen (Read-Warnings-Only).

• Voorbeeld output

  rkhunter --propupd

  [ Rootkit Hunter version 1.4.6 ]
  File properties database updated
  

  rkhunter --check --rwo

  [12:34:56] Checking for rootkits...
  Warning: Suspicious file found: /usr/bin/.hidden
  

---

4. RKHunter gebruiken

Met RKHunter kun je het systeem scannen op rootkits, backdoors en verdachte bestanden. Het is een on-demand scanner die je handmatig draait of automatiseert via cronjobs.

Database bijwerkenVolledige scan uitvoerenScan met alleen waarschuwingenLogbestanden bekijken

Update de referentiedatabase van RKHunter (dit moet na installatie of systeemupdates):

sudo rkhunter --propupd

Start een volledige controle van het systeem:

sudo rkhunter --check

Voer een scan uit die alleen waarschuwingen toont (handig voor snelle checks):

sudo rkhunter --check --rwo

Bekijk het logbestand met resultaten van de laatste scan:

sudo cat /var/log/rkhunter.log

Volg live de log terwijl een scan loopt:

tail -f /var/log/rkhunter.log

---

Extra nuttige commando’s (RKHunter)

Database bijwerkenVolledige scan uitvoerenScan met alleen waarschuwingenLogbestand bekijkenCronjob instellen voor automatische scansUpdate RKHunter

Update de referentiedatabase van RKHunter:

sudo rkhunter --propupd

Start een volledige controle van het systeem:

sudo rkhunter --check

Voer een scan uit die alleen waarschuwingen toont:

sudo rkhunter --check --rwo

Bekijk de resultaten van scans:

sudo cat /var/log/rkhunter.log

Volg live de log terwijl een scan loopt:

tail -f /var/log/rkhunter.log

Voeg een periodieke scan toe (bijv. dagelijks):

sudo crontab -e

Voeg een regel toe, bijvoorbeeld:

0 3 * * * /usr/bin/rkhunter --check --quiet

- Dit voert elke dag om 03:00 uur een scan uit.

RKHunter updaten naar de nieuwste versie via apt:

sudo apt update
sudo apt upgrade rkhunter

---

Logging en Debugging (RKHunter)

Wanneer je problemen hebt met RKHunter of verdachte bestanden die niet goed worden gedetecteerd, kan logging en debugmodus veel inzicht geven.

Scan uitvoeren met extra detailsAlle waarschuwingen tonenLogbestanden bekijkenAlle waarschuwingen uit het logbestand filterenDebugmodus inschakelenUpdate en controle van databases

Voer een scan uit met verbose output:

sudo rkhunter --check --verbose

Dit toont tijdens de scan welke bestanden en checks worden uitgevoerd.

Scan uitvoeren en alleen waarschuwingen tonen:

sudo rkhunter --check --rwo

Bekijk het volledige logbestand:

sudo less /var/log/rkhunter.log

Volg live de log terwijl een scan loopt:

tail -f /var/log/rkhunter.log

Om alleen waarschuwingen te zien, gebruik grep:

sudo grep "Warning" /var/log/rkhunter.log

Tip

Zo zie je snel welke issues RKHunter heeft gevonden zonder door alle normale meldingen te hoeven scrollen.

Voor uitgebreide foutopsporing kun je debugmodus gebruiken:

sudo rkhunter --check --debug

Waarom debugmodus?

In debugmodus zie je exact welke controles en checks RKHunter uitvoert.
Dit helpt bij het oplossen van problemen of het analyseren van verdachte meldingen.

Zorg dat de referentiedatabase up-to-date is voordat je gaat debuggen:

sudo rkhunter --propupd

---

Configuratiebestanden (RKHunter)

/etc/rkhunter.conf/var/lib/rkhunter/db//var/log/rkhunter.logExtra tips

Het hoofdconfiguratiebestand van RKHunter.
Hierin stel je opties in zoals: - MAIL-ON-WARNING → e-mailnotificaties bij waarschuwingen - ENABLE_TESTS → welke checks uitgevoerd worden - SCRIPTWHITELIST → bestanden of scripts die worden overgeslagen - DATABASE_DIR → locatie van de referentiebestanden - LOGFILE → locatie van het logbestand (standaard /var/log/rkhunter.log)

Aanpassingen doorvoeren

Na wijzigingen is herstarten niet nodig, maar voer een scan uit om te controleren:

sudo rkhunter --check

Bevat de referentiedatabase van RKHunter.
Deze bestanden worden gebruikt om de huidige systeembestanden te vergelijken met bekende veilige waarden.
Het is belangrijk dat deze up-to-date is:

sudo rkhunter --propupd

Het hoofdlogbestand van RKHunter.
Hierin zie je o.a.: - Gevonden waarschuwingen (Warning) - Niet-uitgevoerde tests (Skipped) - Debugmeldingen (indien debugmodus gebruikt)

Voorbeeld output

[12:34:56] Checking for rootkits...
Warning: Suspicious file found: /usr/bin/.hidden
Skipped test: suspect_kernel_modules

• Pas alleen /etc/rkhunter.conf aan, andere bestanden in /var/lib/rkhunter/db/ worden automatisch beheerd.

• Gebruik grep om snel waarschuwingen te vinden:

  sudo grep "Warning" /var/log/rkhunter.log
  

---

RKHunter volledig verwijderen (Debian/Ubuntu)

Ja, het is technisch mogelijk om RKHunter volledig te verwijderen,
maar dit wordt alleen aangeraden als je een alternatief beveiligingsmechanisme gebruikt
(zoals een andere rootkit-scanner of HIDS).

Verwijder je RKHunter zonder alternatief, dan verlies je de extra controle op rootkits en verdachte bestanden.

Verwijder het pakket

sudo apt purge --auto-remove rkhunter

Verwijder configuratiebestanden

sudo rm -f /etc/rkhunter.conf
sudo rm -rf /var/lib/rkhunter/db/

Verwijder logbestanden

sudo rm -f /var/log/rkhunter.log*

Let op

Het verwijderen van RKHunter haalt een belangrijke extra beveiligingslaag weg.
Overweeg dit alleen in een testomgeving of wanneer je zeker weet dat je een alternatief
(zoals een andere HIDS of monitoring tool) hebt geconfigureerd.

---

Hardening Tips (RKHunter)

Aanbevelingen voor extra veiligheid

• Houd rkhunter.conf netjes up-to-date
  Pas alleen het configuratiebestand /etc/rkhunter.conf aan en laat de databasebestanden automatisch beheren.

• Voer regelmatig scans uit
  Plan scans via cronjobs, bijvoorbeeld dagelijks of wekelijks:
  

  0 3 * * * /usr/bin/rkhunter --check --quiet
  

• Controleer logs op waarschuwingen
  Gebruik grep om snel alleen waarschuwingen te zien:
  

  sudo grep "Warning" /var/log/rkhunter.log
  

• Gebruik verbose of debugmodus indien nodig
  Voor diepere analyse bij verdachte meldingen:
  

  sudo rkhunter --check --verbose
  sudo rkhunter --check --debug
  

• E-mail notificaties inschakelen
  Ontvang waarschuwingen per mail door MAIL-ON-WARNING in rkhunter.conf in te stellen:
  

  MAIL-ON-WARNING=root@localhost
  

• Houd de referentiedatabase up-to-date
  Na systeemupdates of wijzigingen:
  

  sudo rkhunter --propupd
  

• Controleer regelmatig de logbestandsgrootte
  Voorkom dat logbestanden onnodig groot worden:
  

  sudo logrotate /etc/logrotate.d/rkhunter
  

---

✅ Met deze maatregelen is je RKHunter-configuratie strakker beveiligd en zie je sneller verdachte activiteiten.
Scan regelmatig en bekijk altijd de waarschuwingen in /var/log/rkhunter.log.