El programilla en cuestión, del que también se hacen eco en NewsForge, nació como una forma de comparar resultados con su herramienta gemela, chkrootkit, ya que, como en la propia noticia de NewsForge se dice, chkrootkit daba falsos positivos en algunas ocasiones. Hago una medio traducción de la parte interesante:
Michael Boelen tuvo sus motivos para crear rootkit hunter un día después de que él y un amigo suyo buscasen, por casualidad, vulnerabilidades en una máquina en la que estaba recién instalada FreeBSD 5.0. Esta máquina no tenía conexión a internet, y la herramienta que usaron, chkrootkit, informó de que había binarios "con puerta trasera". Como chkrootkit es de código abierto, echaron un vistazo al código y vieron que una palabra reservada para una opción nueva de FreeBSD causaba el falso positivo. Como resultado, decidió empezar a escribir su propio script desde cero. No porque no le gustara chkrootkit -- que dice que aún lo usa -- sino simplemente para crear una herramienta que diera una "segunda opinión" si chkrootkit indicaba que había un problema.
Su script de "segunda opinión" tiene actualmente más de 3000 líneas. Se ejecuta en casi cualquier distribución o Unix. Llama a otros scripts en perl o shell, que comprueban cosas como ver si un módulo está ejecutándose, qué puertos están abiertos, hace comprobaciones mediante MD5 y escanea directorios críticos para buscar cadenas "malignas" que delaten un rootkit
De acuerdo a su web, rkhunter busca "rootkits puertas traseras y exploits locales", ejecutando:
Comparaciones mediante hash MD5
Búsqueda de ficheros típicos usados por rootkits
Permisos erróneos en algunos ejecutables
Búsqueda de cadenas sospechosas en los módulos LKM y KLD (supongo que serán los módulos "de toda la vida" del kernel, LKM = loadable kernel module creo, KLD ni idea).
Búsqueda de ficheros ocultos
Escaneo opcional en ficheros de texto y binarios
Después de todo este rollo, me decidí a probarlo. Lo instalé en una redhat 7.2 en producción, y ejecuté el script 'installer.sh'. Tras esto, ejecuté el detector mediante rkhunter -c --createlogfile, y me comenzó a hacer unas pruebas, digamos que un montón, dando mensajes de color con OK y WARNING. No me detectó nada extraño, únicamente me advirtió de un directorio algo raro, /tmp/.java , pero le eché un vistazo y no veo nada "peligroso".
Pues eso, que os aconsejo que lo probéis, una herramienta de este tipo nunca viene mal, y menos cuando parece de bastante calidad.
Un saludín