Co to jest Rkhunter?
Rkhunter ( Rootkit Hunter ) to oparte na Uniksie / Linuksie narzędzie skanujące typu open source dla systemów Linux wydanych na licencji GPL, które skanuje backdoory, rootkity i lokalne exploity w systemie linux.
Skanuje ukryte pliki, niewłaściwe uprawnienia ustawione w plikach binarnych, podejrzane ciągi znaków w jądrze itp. Aby dowiedzieć się więcej o Rkhunter i jego funkcjach, odwiedź http://rkhunter.sourceforge.net/ .
Zainstaluj Rootkit Hunter Scanner
Krok 1: Pobieranie Rkhunter
Najpierw pobierz najnowszą stabilną wersję narzędzia Rkhunter , przechodząc pod adres http://rkhunter.sourceforge.net/ lub użyj poniższej komendy Wget, aby pobrać.
# cd / tmp
# wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
Krok 2: Instalacja Rkhuntera
Po pobraniu najnowszej wersji uruchom następujące polecenia jako użytkownik root, aby ją zainstalować.
# tar -xvf rkhunter-1.4.6.tar.gz
# cd rkhunter-1.4.6
# ./installer.sh --layout default --install
Przykładowe wyjście
System sprawdzania:
Pliki instalatora Rootkit Hunter: znaleziono
Polecenie pobierania pliku internetowego: znaleziono wget
Rozpoczęcie instalacji:
Sprawdzanie katalogu instalacyjnego „/ usr / local”: istnieje i można do niego zapisywać.
Sprawdzanie katalogów instalacyjnych:
Katalog /usr/local/share/doc/rkhunter-1.4.2: tworzenie: OK
Katalog / usr / local / share / man / man8: istnieje i jest zapisywalny.
Katalog / etc: istnieje i jest zapisywalny.
Katalog / usr / local / bin: istnieje i można do niego zapisywać.
Katalog / usr / local / lib64: istnieje i można do niego zapisywać.
Katalog / var / lib: istnieje i można do niego zapisywać.
Katalog / usr / local / lib64 / rkhunter / scripts: tworzenie: OK
Katalog / var / lib / rkhunter / db: tworzenie: OK
Katalog / var / lib / rkhunter / tmp: tworzenie: OK
Katalog / var / lib / rkhunter / db / i18n: tworzenie: OK
Katalog / var / lib / rkhunter / db / sygnatury: tworzenie: OK
Instalowanie check_modules.pl: OK
Instalowanie filehashsha.pl: OK
Instalowanie stat.pl: OK
Instalowanie readlink.sh: OK
Instalowanie backdoorports.dat: OK
Instalowanie mirrors.dat: OK
Instalowanie programów_bad.dat: OK
Instalowanie suspscan.dat: OK
Instalowanie rkhunter.8: OK
Instalowanie PODZIĘKOWANIA: OK
Instalowanie CHANGELOG: OK
Instalowanie FAQ: OK
Instalowanie LICENCJI: OK
Instalowanie README: OK
Instalowanie plików obsługi języków: OK
Instalowanie podpisów ClamAV: OK
Instalowanie rkhuntera: OK
Instalowanie rkhunter.conf: OK
Instalacja zakończona
Krok 3: Aktualizacja Rkhuntera
Uruchom aktualizator RKH, aby zaktualizować bazy danych, uruchamiając następującą komendę.
# /usr/local/bin/rkhunter --update
# /usr/local/bin/rkhunter --propupd
Przykładowe wyjście
[Rootkit Hunter w wersji 1.4.6]
Sprawdzanie plików danych rkhunter ...
Sprawdzanie pliku mirrors.dat [Zaktualizowano]
Sprawdzanie pliku Programs_bad.dat [Brak aktualizacji]
Sprawdzanie pliku backdoorports.dat [Brak aktualizacji]
Sprawdzanie pliku suspscan.dat [Brak aktualizacji]
Sprawdzanie pliku i18n / cn [Brak aktualizacji]
Sprawdzanie pliku i18n / de [Brak aktualizacji]
Sprawdzanie pliku i18n / pl [Brak aktualizacji]
Sprawdzanie pliku i18n / tr [Brak aktualizacji]
Sprawdzanie pliku i18n / tr.utf8 [Brak aktualizacji]
Sprawdzanie pliku i18n / zh [Brak aktualizacji]
Sprawdzanie pliku i18n / zh.utf8 [Brak aktualizacji]
Sprawdzanie pliku i18n / ja [Brak aktualizacji]
Utworzono plik: szukano 177 plików, znaleziono 131, brakujące skróty 1
Krok 4: Ustawianie alertów Cronjob i e-mail
Utwórz plik o nazwie rkhunter.sh w katalogu /etc/cron.daily/ , który następnie codziennie skanuje system plików i wysyła powiadomienia e-mail na Twój identyfikator e-mail. Utwórz następujący plik za pomocą swojego ulubionego edytora.
# vi /etc/cron.daily/rkhunter.sh
Dodaj do niego następujące wiersze kodu i zamień „ YourServerNameHere ” na „ Nazwę serwera ” i „ twój@email.com ” na swój „ Email Id ”.
#! / bin / sh
(
/ usr / local / bin / rkhunter --versioncheck
/ usr / local / bin / rkhunter --update
/ usr / local / bin / rkhunter --cronjob --report-warnings-only
) | / bin / mail -s 'rkhunter Daily Run ( PutYourServerNameHere )' twój@email.com
Ustaw uprawnienia do wykonywania pliku.
# chmod 755 /etc/cron.daily/rkhunter.sh
Krok 5: Ręczne skanowanie i użytkowanie
Aby przeskanować cały system plików, uruchom Rkhunter jako użytkownik root.
# rkhunter --check
Przykładowe wyjście
[Rootkit Hunter w wersji 1.4.6]
Sprawdzanie poleceń systemowych ...
Wykonywanie kontroli poleceń „ciągów”
Sprawdzanie polecenia „ciągi” [OK]
Wykonywanie kontroli „bibliotek współdzielonych”
Sprawdzanie wstępnego ładowania zmiennych [Nie znaleziono]
Sprawdzanie wstępnie załadowanych bibliotek [nie znaleziono]
Sprawdzanie zmiennej LD_LIBRARY_PATH [Nie znaleziono]
Wykonywanie kontroli właściwości pliku
Sprawdzanie wymagań wstępnych [OK]
/ usr / local / bin / rkhunter [OK]
/ usr / sbin / adduser [OK]
/ usr / sbin / chkconfig [OK]
/ usr / sbin / chroot [OK]
/ usr / sbin / depmod [OK]
/ usr / sbin / fsck [OK]
/ usr / sbin / fuser [OK]
/ usr / sbin / groupadd [OK]
/ usr / sbin / groupdel [OK]
/ usr / sbin / groupmod [OK]
/ usr / sbin / grpck [OK]
/ usr / sbin / ifconfig [OK]
/ usr / sbin / ifdown [Ostrzeżenie]
/ usr / sbin / ifup [Ostrzeżenie]
/ usr / sbin / init [OK]
/ usr / sbin / insmod [OK]
/ usr / sbin / ip [OK]
/ usr / sbin / lsmod [OK]
/ usr / sbin / lsof [OK]
/ usr / sbin / modinfo [OK]
/ usr / sbin / modprobe [OK]
/ usr / sbin / nologin [OK]
/ usr / sbin / pwck [OK]
/ usr / sbin / rmmod [OK]
/ usr / sbin / route [OK]
/ usr / sbin / rsyslogd [OK]
/ usr / sbin / runlevel [OK]
/ usr / sbin / sestatus [OK]
/ usr / sbin / sshd [OK]
/ usr / sbin / sulogin [OK]
/ usr / sbin / sysctl [OK]
/ usr / sbin / tcpd [OK]
/ usr / sbin / useradd [OK]
/ usr / sbin / userdel [OK]
/ usr / sbin / usermod [OK]
....
[Naciśnij, aby kontynuować]
Sprawdzanie rootkitów ...
Sprawdzenie znanych plików i katalogów rootkitów
55808 Trojan - wariant A [nie znaleziono]
Robak ADM [nie znaleziono]
AjaKit Rootkit [nie znaleziono]
Adore Rootkit [Nie znaleziono]
aPa Kit [nie znaleziono]
.....
[Naciśnij, aby kontynuować]
Wykonywanie dodatkowych testów rootkitów
Suckit Rookit dodatkowe testy [OK]
Sprawdzanie możliwych plików i katalogów rootkitów [Nie znaleziono]
Sprawdzanie możliwych ciągów rootkitów [nie znaleziono]
....
[Naciśnij, aby kontynuować]
Sprawdzanie sieci ...
Wykonywanie kontroli portów sieciowych
Sprawdzanie portów backdoora [nie znaleziono]
....
Wykonywanie kontroli plików konfiguracyjnych systemu
Sprawdzanie pliku konfiguracyjnego SSH [Znaleziono]
Sprawdzanie, czy dostęp roota SSH jest dozwolony [Ostrzeżenie]
Sprawdzanie, czy protokół SSH v1 jest dozwolony [Ostrzeżenie]
Sprawdzanie uruchomionego demona rejestrowania systemu [Znaleziono]
Sprawdzanie pliku konfiguracyjnego rejestrowania systemu [Znaleziono]
Sprawdzanie, czy zdalne rejestrowanie syslog jest dozwolone [Niedozwolone]
...
Podsumowanie kontroli systemu
=====================
Sprawdzanie właściwości pliku ...
Sprawdzone pliki: 137
Podejrzane pliki: 6
Testy rootkitów ...
Sprawdzone rootkity: 383
Możliwe rootkity: 0
Kontrole aplikacji ...
Sprawdzone aplikacje: 5
Podejrzane aplikacje: 2
Kontrola systemu zajęła: 5 minut i 38 sekund
Wszystkie wyniki zostały zapisane w pliku dziennika: /var/log/rkhunter.log
Podczas sprawdzania systemu znaleziono jedno lub więcej ostrzeżeń.
Sprawdź plik dziennika (/var/log/rkhunter.log)
Powyższe polecenie generuje plik dziennika w /var/log/rkhunter.log z wynikami kontroli wykonanymi przez Rkhunter .
# cat /var/log/rkhunter.log
Przykładowe wyjście
[11:21:04] Uruchamianie programu Rootkit Hunter w wersji 1.4.6 na tecmint
[11:21:04]
[11:21:04] Informacje: Data rozpoczęcia to pon., 21 grudnia, 11:21:04 IST 2020
[11:21:04]
[11:21:04] Sprawdzanie pliku konfiguracyjnego i opcji wiersza poleceń ...
[11:21:04] Informacje: Wykryty system operacyjny to „Linux”
[11:21:04] Info: Znaleziono nazwę O / S: Fedora wydanie 33 (trzydzieści trzy)
[11:21:04] Info: Wiersz poleceń to / usr / local / bin / rkhunter --check
[11:21:04] Info: Powłoka środowiska to / bin / bash; rkhunter używa basha
[11:21:04] Info: Korzystanie z pliku konfiguracyjnego „/etc/rkhunter.conf”
[11:21:04] Informacje: Katalog instalacyjny to „/ usr / local”
[11:21:04] Info: Używanie języka „en”
[11:21:04] Info: Używanie „/ var / lib / rkhunter / db” jako katalogu bazy danych
[11:21:04] Info: Używanie „/ usr / local / lib64 / rkhunter / scripts” jako katalogu skryptów pomocniczych
[11:21:04] Info: Używanie „/ usr / local / sbin / usr / local / bin / usr / sbin / usr / bin / bin / sbin / usr / libexec / usr / local / libexec” jako katalogów poleceń
[11:21:04] Info: Używanie „/ var / lib / rkhunter / tmp” jako katalogu tymczasowego
[11:21:04] Info: Nie skonfigurowano adresu e-mail z ostrzeżeniem
[11:21:04] Info: X zostanie automatycznie wykryty
[11:21:04] Info: Znaleziono polecenie „basename”: / usr / bin / basename
[11:21:04] Info: Znaleziono polecenie „diff”: / usr / bin / diff
[11:21:04] Info: Znaleziono polecenie „dirname”: / usr / bin / dirname
[11:21:04] Info: Znaleziono polecenie „file”: / usr / bin / file
[11:21:04] Info: Znaleziono polecenie „znajdź”: / usr / bin / find
[11:21:04] Info: Znaleziono polecenie „ifconfig”: / usr / sbin / ifconfig
[11:21:04] Info: Znaleziono polecenie „ip”: / usr / sbin / ip
[11:21:04] Info: Znaleziono polecenie „ipcs”: / usr / bin / ipcs
[11:21:04] Info: Znaleziono polecenie „ldd”: / usr / bin / ldd
[11:21:04] Info: Znaleziono polecenie „lsattr”: / usr / bin / lsattr
...
Aby uzyskać więcej informacji i opcji, uruchom następujące polecenie.
# rkhunter --help
Dziękuję!
Bardzo mi pomogłeś ta instrukcją z przykładami.