rkhunter(rootkit hunter)は、Linuxシステム上でrootkit、不正なバイナリ、バックドアなどのマルウェアを検出するためのセキュリティツールです。
コマンドラインベースで動作し、既知の悪意ある挙動やファイルの改ざんをチェックします。
このツールはkali2025.2で新たに編入されました。
ルートキットとは不正にシステム内に侵入し潜伏するマルウェアです。システムの深いレベルに潜伏して、侵入の痕跡を消去することが可能です。
なおrkhunterプロジェクトのサイトによると2018年から開発が止まっているようです。(正確な最終更新日時は2018/2/20 09:31:28 JST)
起動
メニューからの起動( kali ー 15-Forensics ー hkhunter )ではヘルプが表示されます。
キャリブレーション
” –propupd ” オプションで現在の状態を正常な状態と再定義することができます。
sudo rkhunter –propupud
但し現在すでにルートキットが潜んでいる場合は、それを許容することにつながります。
実行
” rkhunter –check ” にて、検査を実行します。
rkhunter –check
時々、 ” Enter ” キーを押すことにより確認を求められます。
最後にサマリーが表示されます。
レポートの確認
ログの場所は以下の通り。
/var/log/rkhunter.log
ログの検証
” grep ” コマンドで ” Warning ” のみを拾い上げてみます。
grep Warning /var/log/rkhunter.log
定義ファイルの更新が使えない問題
” –update ” オプション(定義ファイルの更新)は実行できません。
sudo rkhunter –update
以下のように ” Update failed ” となります。
この問題を解決しようとして色々努力してみました。
まずそもそものデフォルトの設定ではサーバーに接続出来ない設定になっています。
接続するには設定ファイル ” /etc/rkhunter.conf ” を以下のように書き換える必要があります。
| 初期設定値 | 変更値 |
| UPDATE_MIROORS=0 | UPDATE_MIROORS=1 |
| MIRRORS_MODE=1 | MIRRORS_MODE=0 |
| WEB_CMD=/bin/false | WEB_CMD=”curl -s -L” |
しかしながらこの修正をしてサーバーに接続しに行ってももやはりエラーが出ます。
下記の警告が繰り返し出現します。
Warning: Download of ‘mirrors.dat’ failed: Unable to determine the latest version number.
結局、接続先のサーバーが閉鎖されている為に接続出来ないようです。
プロジェクトのサイトによると2018年から開発が止まり接続先が閉鎖されている為、最初から接続出来ない設定になっているようです。
バージョンチェック
バージョン表示のオプションは ” –versioncheck ” ですが、やはり最後に ” Latest version : Download failed ” と出ます。
これ以上新しいバージョンにはならない。
その他の主なオプション
| オプション | 説明 |
| –sk | チェック中に確認(途中Enterの入力)をスキップ |
| –rwo | 警告や重要な出力のみを表示 |
まとめ
rkhunterはウイルス対策ソフトというより「整合性チェックツール」に近く、警告が出ても必ずしも脅威の発見とは限らないようです。
このツールはkaliで新しく採用されたツールの割には、ずっと前に開発が止まっているという、何とも中途半端な立ち位置のツールです。
見方を変えれば、開発が終わっているのに採用されたということは、まだまだ重要性が高いと(kaliの運営に)再評価されたのでしょうか。
コメント