rkhunter是一个rootkit，后门(backdoor)，嗅探器(sniffer)和漏洞(exploit)扫描工具，它可以扫描已知和未知的上述问题。

他主要检查：
1）文件MD5的改变
2）由rootkit创建的文件
3）异常的文件可执行权限
4）内核模块可疑字符串 5）系统目录隐藏文件
6）其他自定义文件扫描

下面是一个扫描片段

#rkhunter --check
[22:30:22] /usr/sbin/pwck                                    [ OK ]
[22:30:22] /usr/sbin/tcpd                                    [ OK ]
[22:30:22] /usr/sbin/useradd                                 [ OK ]
[22:30:22] /usr/sbin/userdel                                 [ OK ]
[22:30:22] /usr/sbin/usermod                                 [ OK ]
[22:30:22] /usr/sbin/vipw                                    [ OK ]
[22:30:22] /usr/sbin/sysv-rc-conf                            [ Warning ]
[22:30:22] Warning: The command '/usr/sbin/sysv-rc-conf' has been replaced by a script: /usr/sbin/sysv-rc-conf: perl script text executable
[22:31:31]
[22:31:31] Checking for rootkits...

ubuntu用户可以直接使用sudo apt-get install rkhunter安装，其他发行版本，也许仓库里，当然也可以从官方站点获取