Co to jest Rkhunter?

Rkhunter ( Rootkit Hunter ) to oparte na Uniksie / Linuksie narzędzie skanujące typu open source dla systemów Linux wydanych na licencji GPL, które skanuje backdoory, rootkity i lokalne exploity w systemie linux.

Skanuje ukryte pliki, niewłaściwe uprawnienia ustawione w plikach binarnych, podejrzane ciągi znaków w jądrze itp. Aby dowiedzieć się więcej o Rkhunter i jego funkcjach, odwiedź http://rkhunter.sourceforge.net/ .

Zainstaluj Rootkit Hunter Scanner

Krok 1: Pobieranie Rkhunter

Najpierw pobierz najnowszą stabilną wersję narzędzia Rkhunter , przechodząc pod adres http://rkhunter.sourceforge.net/ lub użyj poniższej komendy Wget, aby pobrać.

# cd / tmp
# wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz

Krok 2: Instalacja Rkhuntera

Po pobraniu najnowszej wersji uruchom następujące polecenia jako użytkownik root, aby ją zainstalować.

# tar -xvf rkhunter-1.4.6.tar.gz 
# cd rkhunter-1.4.6
# ./installer.sh --layout default --install
Przykładowe wyjście
System sprawdzania:
 Pliki instalatora Rootkit Hunter: znaleziono
 Polecenie pobierania pliku internetowego: znaleziono wget
Rozpoczęcie instalacji:
 Sprawdzanie katalogu instalacyjnego „/ usr / local”: istnieje i można do niego zapisywać.
 Sprawdzanie katalogów instalacyjnych:
  Katalog /usr/local/share/doc/rkhunter-1.4.2: tworzenie: OK
  Katalog / usr / local / share / man / man8: istnieje i jest zapisywalny.
  Katalog / etc: istnieje i jest zapisywalny.
  Katalog / usr / local / bin: istnieje i można do niego zapisywać.
  Katalog / usr / local / lib64: istnieje i można do niego zapisywać.
  Katalog / var / lib: istnieje i można do niego zapisywać.
  Katalog / usr / local / lib64 / rkhunter / scripts: tworzenie: OK
  Katalog / var / lib / rkhunter / db: tworzenie: OK
  Katalog / var / lib / rkhunter / tmp: tworzenie: OK
  Katalog / var / lib / rkhunter / db / i18n: tworzenie: OK
  Katalog / var / lib / rkhunter / db / sygnatury: tworzenie: OK
 Instalowanie check_modules.pl: OK
 Instalowanie filehashsha.pl: OK
 Instalowanie stat.pl: OK
 Instalowanie readlink.sh: OK
 Instalowanie backdoorports.dat: OK
 Instalowanie mirrors.dat: OK
 Instalowanie programów_bad.dat: OK
 Instalowanie suspscan.dat: OK
 Instalowanie rkhunter.8: OK
 Instalowanie PODZIĘKOWANIA: OK
 Instalowanie CHANGELOG: OK
 Instalowanie FAQ: OK
 Instalowanie LICENCJI: OK
 Instalowanie README: OK
 Instalowanie plików obsługi języków: OK
 Instalowanie podpisów ClamAV: OK
 Instalowanie rkhuntera: OK
 Instalowanie rkhunter.conf: OK
Instalacja zakończona

Krok 3: Aktualizacja Rkhuntera

Uruchom aktualizator RKH, aby zaktualizować bazy danych, uruchamiając następującą komendę.

# /usr/local/bin/rkhunter --update
# /usr/local/bin/rkhunter --propupd
Przykładowe wyjście
[Rootkit Hunter w wersji 1.4.6]

Sprawdzanie plików danych rkhunter ...
  Sprawdzanie pliku mirrors.dat [Zaktualizowano]
  Sprawdzanie pliku Programs_bad.dat [Brak aktualizacji]
  Sprawdzanie pliku backdoorports.dat [Brak aktualizacji]
  Sprawdzanie pliku suspscan.dat [Brak aktualizacji]
  Sprawdzanie pliku i18n / cn [Brak aktualizacji]
  Sprawdzanie pliku i18n / de [Brak aktualizacji]
  Sprawdzanie pliku i18n / pl [Brak aktualizacji]
  Sprawdzanie pliku i18n / tr [Brak aktualizacji]
  Sprawdzanie pliku i18n / tr.utf8 [Brak aktualizacji]
  Sprawdzanie pliku i18n / zh [Brak aktualizacji]
  Sprawdzanie pliku i18n / zh.utf8 [Brak aktualizacji]
  Sprawdzanie pliku i18n / ja [Brak aktualizacji]
Utworzono plik: szukano 177 plików, znaleziono 131, brakujące skróty 1

Krok 4: Ustawianie alertów Cronjob i e-mail

Utwórz plik o nazwie rkhunter.sh w katalogu /etc/cron.daily/ , który następnie codziennie skanuje system plików i wysyła powiadomienia e-mail na Twój identyfikator e-mail. Utwórz następujący plik za pomocą swojego ulubionego edytora.

# vi /etc/cron.daily/rkhunter.sh

Dodaj do niego następujące wiersze kodu i zamień „ YourServerNameHere ” na „ Nazwę serwera ” i „ twój@email.com ” na swój „ Email Id ”.

#! / bin / sh
(
/ usr / local / bin / rkhunter --versioncheck
/ usr / local / bin / rkhunter --update
/ usr / local / bin / rkhunter --cronjob --report-warnings-only
) | / bin / mail -s 'rkhunter Daily Run ( PutYourServerNameHere )' twój@email.com

Ustaw uprawnienia do wykonywania pliku.

# chmod 755 /etc/cron.daily/rkhunter.sh

Krok 5: Ręczne skanowanie i użytkowanie

Aby przeskanować cały system plików, uruchom Rkhunter jako użytkownik root.

# rkhunter --check
Przykładowe wyjście
[Rootkit Hunter w wersji 1.4.6]

Sprawdzanie poleceń systemowych ...

  Wykonywanie kontroli poleceń „ciągów”
    Sprawdzanie polecenia „ciągi” [OK]

  Wykonywanie kontroli „bibliotek współdzielonych”
    Sprawdzanie wstępnego ładowania zmiennych [Nie znaleziono]
    Sprawdzanie wstępnie załadowanych bibliotek [nie znaleziono]
    Sprawdzanie zmiennej LD_LIBRARY_PATH [Nie znaleziono]

  Wykonywanie kontroli właściwości pliku
    Sprawdzanie wymagań wstępnych [OK]
    / usr / local / bin / rkhunter [OK]
    / usr / sbin / adduser [OK]
    / usr / sbin / chkconfig [OK]
    / usr / sbin / chroot [OK]
    / usr / sbin / depmod [OK]
    / usr / sbin / fsck [OK]
    / usr / sbin / fuser [OK]
    / usr / sbin / groupadd [OK]
    / usr / sbin / groupdel [OK]
    / usr / sbin / groupmod [OK]
    / usr / sbin / grpck [OK]
    / usr / sbin / ifconfig [OK]
    / usr / sbin / ifdown [Ostrzeżenie]
    / usr / sbin / ifup [Ostrzeżenie]
    / usr / sbin / init [OK]
    / usr / sbin / insmod [OK]
    / usr / sbin / ip [OK]
    / usr / sbin / lsmod [OK]
    / usr / sbin / lsof [OK]
    / usr / sbin / modinfo [OK]
    / usr / sbin / modprobe [OK]
    / usr / sbin / nologin [OK]
    / usr / sbin / pwck [OK]
    / usr / sbin / rmmod [OK]
    / usr / sbin / route [OK]
    / usr / sbin / rsyslogd [OK]
    / usr / sbin / runlevel [OK]
    / usr / sbin / sestatus [OK]
    / usr / sbin / sshd [OK]
    / usr / sbin / sulogin [OK]
    / usr / sbin / sysctl [OK]
    / usr / sbin / tcpd [OK]
    / usr / sbin / useradd [OK]
    / usr / sbin / userdel [OK]
    / usr / sbin / usermod [OK]
....
[Naciśnij, aby kontynuować]


Sprawdzanie rootkitów ...

  Sprawdzenie znanych plików i katalogów rootkitów
    55808 Trojan - wariant A [nie znaleziono]
    Robak ADM [nie znaleziono]
    AjaKit Rootkit [nie znaleziono]
    Adore Rootkit [Nie znaleziono]
    aPa Kit [nie znaleziono]
.....

[Naciśnij, aby kontynuować]


  Wykonywanie dodatkowych testów rootkitów
    Suckit Rookit dodatkowe testy [OK]
    Sprawdzanie możliwych plików i katalogów rootkitów [Nie znaleziono]
    Sprawdzanie możliwych ciągów rootkitów [nie znaleziono]

....
[Naciśnij, aby kontynuować]


Sprawdzanie sieci ...

  Wykonywanie kontroli portów sieciowych
    Sprawdzanie portów backdoora [nie znaleziono]
....
  Wykonywanie kontroli plików konfiguracyjnych systemu
    Sprawdzanie pliku konfiguracyjnego SSH [Znaleziono]
    Sprawdzanie, czy dostęp roota SSH jest dozwolony [Ostrzeżenie]
    Sprawdzanie, czy protokół SSH v1 jest dozwolony [Ostrzeżenie]
    Sprawdzanie uruchomionego demona rejestrowania systemu [Znaleziono]
    Sprawdzanie pliku konfiguracyjnego rejestrowania systemu [Znaleziono]
    Sprawdzanie, czy zdalne rejestrowanie syslog jest dozwolone [Niedozwolone]
...
Podsumowanie kontroli systemu
=====================

Sprawdzanie właściwości pliku ...
    Sprawdzone pliki: 137
    Podejrzane pliki: 6

Testy rootkitów ...
    Sprawdzone rootkity: 383
    Możliwe rootkity: 0

Kontrole aplikacji ...
    Sprawdzone aplikacje: 5
    Podejrzane aplikacje: 2

Kontrola systemu zajęła: 5 minut i 38 sekund

Wszystkie wyniki zostały zapisane w pliku dziennika: /var/log/rkhunter.log

Podczas sprawdzania systemu znaleziono jedno lub więcej ostrzeżeń.
Sprawdź plik dziennika (/var/log/rkhunter.log)

Powyższe polecenie generuje plik dziennika w /var/log/rkhunter.log z wynikami kontroli wykonanymi przez Rkhunter .

# cat /var/log/rkhunter.log
Przykładowe wyjście
[11:21:04] Uruchamianie programu Rootkit Hunter w wersji 1.4.6 na tecmint
[11:21:04]
[11:21:04] Informacje: Data rozpoczęcia to pon., 21 grudnia, 11:21:04 IST 2020
[11:21:04]
[11:21:04] Sprawdzanie pliku konfiguracyjnego i opcji wiersza poleceń ...
[11:21:04] Informacje: Wykryty system operacyjny to „Linux”
[11:21:04] Info: Znaleziono nazwę O / S: Fedora wydanie 33 (trzydzieści trzy)
[11:21:04] Info: Wiersz poleceń to / usr / local / bin / rkhunter --check
[11:21:04] Info: Powłoka środowiska to / bin / bash; rkhunter używa basha
[11:21:04] Info: Korzystanie z pliku konfiguracyjnego „/etc/rkhunter.conf”
[11:21:04] Informacje: Katalog instalacyjny to „/ usr / local”
[11:21:04] Info: Używanie języka „en”
[11:21:04] Info: Używanie „/ var / lib / rkhunter / db” jako katalogu bazy danych
[11:21:04] Info: Używanie „/ usr / local / lib64 / rkhunter / scripts” jako katalogu skryptów pomocniczych
[11:21:04] Info: Używanie „/ usr / local / sbin / usr / local / bin / usr / sbin / usr / bin / bin / sbin / usr / libexec / usr / local / libexec” jako katalogów poleceń
[11:21:04] Info: Używanie „/ var / lib / rkhunter / tmp” jako katalogu tymczasowego
[11:21:04] Info: Nie skonfigurowano adresu e-mail z ostrzeżeniem
[11:21:04] Info: X zostanie automatycznie wykryty
[11:21:04] Info: Znaleziono polecenie „basename”: / usr / bin / basename
[11:21:04] Info: Znaleziono polecenie „diff”: / usr / bin / diff
[11:21:04] Info: Znaleziono polecenie „dirname”: / usr / bin / dirname
[11:21:04] Info: Znaleziono polecenie „file”: / usr / bin / file
[11:21:04] Info: Znaleziono polecenie „znajdź”: / usr / bin / find
[11:21:04] Info: Znaleziono polecenie „ifconfig”: / usr / sbin / ifconfig
[11:21:04] Info: Znaleziono polecenie „ip”: / usr / sbin / ip
[11:21:04] Info: Znaleziono polecenie „ipcs”: / usr / bin / ipcs
[11:21:04] Info: Znaleziono polecenie „ldd”: / usr / bin / ldd
[11:21:04] Info: Znaleziono polecenie „lsattr”: / usr / bin / lsattr
...

Aby uzyskać więcej informacji i opcji, uruchom następujące polecenie.

# rkhunter --help