rkhunter

rkhunter vous permettra de détecter l'installation de logiciels malveillants, ou la modification de logiciels régulièrement utilisés (tel ls, ps, cp, apt-get, ...) par le système ou par vous même. Il s'agit donc d'un bon outil pour détecter toute installation frauduleuse sur un serveur.

Pour cela il doit fonctionner à interval régulier (par défaut tout les jours) afin d'établit une signature pour l'ensemble des fichiers de votre système (vous pouvez ignorer certains fichiers/dossiers). Si une nouvelle signature est créé (pour un fichier préexistant ou pour un nouveau fichier), vous serez alerter par email.

Son installation et sa configuration sont relativement simple :

apt-get install rkhunter
echo '// Update rkhunter file signatures databases after running dpkg.
DPkg::Post-Invoke {
  "if [ -x /usr/bin/rkhunter ]; then if [ $(/usr/bin/rkhunter --help | /bin/grep "propupd" | /usr/bin/wc -l) -gt 0 ]; then /usr/bin/rkhunter --propupd; fi; fi";
};' > '/etc/apt/apt.conf.d/90rkhunter'