Un rootkit es una herramienta, o un grupo de ellas usadas para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows.

Gracias Wikipedia.

En All About Linux, se nos presenta la una forma sencilla de detectar rootkits en Linux a través del programa Rootkit Hunter.

Dentro de lo que puede detectar tenemos: 55808 Trojan - Variant A, ADM W0rm, AjaKit, aPa Kit, Apache Worm, Ambient (ark) Rootkit, Balaur Rootkit, BeastKit, beX2, BOBKit, CiNIK Worm (Slapper.B variant), Danny-Boy's Abuse Kit, Devil RootKit, Dica, Dreams Rootkit, Duarawkz Rootkit, Flea Linux Rootkit, FreeBSD Rootkit, Fuck`it Rootkit, GasKit, Heroin LKM, HjC Rootkit, ignoKit, ImperalsS-FBRK, Irix Rootkit, Kitko, Knark, Li0n Worm, Lockit / LJK2, mod_rootme (Apache backdoor), MRK, Ni0 Rootkit, NSDAP (RootKit for SunOS), Optic Kit (Tux), Oz Rootkit, Portacelo, R3dstorm Toolkit, RH-Sharpe's rootkit, RSHA's rootkit, Scalper Worm, Shutdown, SHV4 Rootkit, SHV5 Rootkit, Sin Rootkit, Slapper, Sneakin Rootkit, Suckit, SunOS, Rootkit, Superkit, TBD (Telnet BackDoor), TeLeKiT, T0rn Rootkit, Trojanit Kit, URK (Universal RootKit), VcKit, Volc Rootkit, X-Org SunOS Rootkit, zaRwT.KiT Rootkit
y.... algunos sniffers, backdoors conocidos, Anti Anti-sniffer, LuCe LKM, THC. Backdoor.

Los pasos para poder usar R. Hunter:

• Bajarlo.-

$ wget http://downloads.rootkit.nl/rkhunter-(version).tar.gz

• Revisar el MD5 del paquete bajado.-
  

$ md5sum rkhunter-(version).tar.gz

nota: el MD5 debería coincidir con
41122193b5006b617e03c637a17ae982 <--- corresponde a la versión 1.2.8

• Extraerlo.-

$ tar zxf rkhunter-(version).tar.gz

• Instalar.-

$ cd rkhunter
$ sudo ./installer.sh

• Ejecutar.-

$ sudo -s
# rkhunter -c

Dentro de las opciones para su uso tenemos.

rkhunter (opción)

--checkall (or -c)
Verificar el sistema, realizar todas las verificaciones.

--createlogfile*
Crear un archivo log (se guarda en /var/log/rkhunter.log)

--cronjob
Correr como cronjob (tarea programada), (la info. se desplegara sin color)

--help (or -h)
Muestra la ayuda para usar el programa.

--nocolors*
No usar color para desplegar la información del programa (Para terminales que no entiendan o mal interpreten esta opción)

--report-mode*
No reportar información irrelevante, como header/footer. Como cuando se usa como cronjob o otro programa.

--skip-keypress*
No esperar antes de cada test (no interactivo)

--quick*
Realizar una exploración rápida (en vez de una completa). Saltarse algunas pruebas y realizar las más importantes (no es conveniente para exploraciones normales).

--version
Mostrar la versión y salir.

--versioncheck
Verificar la última versión.

Dynamic paths
--bindir (bindir)*
Usar otro directorio para buscar los binarios (uso en vez de los binirario por defecto)

--configfile (file)*
Usar otro archivo de configuración (si no usa el que está por defecto).

--dbdir (dir)*
Usar otro directorio para la base de datos (si no utiliza el que está ubicado en, /usr/local/rkhunter/db)

--rootdir (rootdir)*
Usar otro directorio raiz (normalmente '/'). Todos los binarios y test se realizan en ejecutan en este directorio (rootdir).

--tmpdir (tempdir)*
Usar otro directorio para guardar los archivos temporales.

Opciones explicitas de busqueda:

--disable-md5-check*
Desactivar la verificación del MD5.

--disable-passwd-check*
Desactivar la verificación del passwd/group

--scan-knownbad-files*
Detectar solo los rootkits 'malos conocidos'.

Detecting Rootkits In GNU/Linux [Vía Slashdot]