Recentemente ho creato questo semplice script bash che consente di identificare eventuali rootkit installati sulla nostra macchina, inviando successivamente il risultato della scansione al nostro indirizzo email. Tale script si avvale del tool rkhunter.
Ecco il codice:
#!/bin/bash
destinatario=vostro.indirizzo@email.it
logfile=/var/log/rkhuntercheck.log
ROOT_UID=0
if [ "$UID" -ne "$ROOT_UID" ];then
ERRORE1="Errore 1: Devi essere root per eseguire lo script"
echo $ERRORE1
echo "$(date) $ERRORE1" >> $logfile
exit 1
fi
rkhunter --update -c --sk --nocolors > temp_rootkit;
cat temp_rootkit | mail -iv -s "Esito scansione rootkit con rkhunter" $destinatario;
rm temp_rootkit;
exit 0
In particolare, la flag --sk consente di skippare il keypress, mentre la flag --nocolors consente di creare un report senza preoccuparci della formattazione del testo mediante i colori.
Inoltre, prima di effettuare uno scan, grazie alla flag --update, aggiorno rkhunter con le ultime signature.
Spero che questo script vi possa tornare utile.
A presto.