Ancora una volta siamo qui per introdurre un nuovo strumento di sicurezza chiamato Rkhunter ( Rootkit Hunter ). Questo articolo ti guiderà su come installare e configurare RKH ( RootKit Hunter ) nei sistemi Linux utilizzando il codice sorgente.
Rkhunter ( Rootkit Hunter ) è uno strumento di scansione open source basato su Unix/Linux per sistemi Linux rilasciato sotto licenza GPL che scansiona backdoor, rootkit ed exploit locali sui tuoi sistemi.
Esegue la scansione di file nascosti, autorizzazioni errate impostate sui binari, stringhe sospette nel kernel, ecc. Per saperne di più su Rkhunter e le sue funzionalità, visita http://rkhunter.sourceforge.net/ .
INSTALLA ROOTKIT HUNTER SCANNER NEI SISTEMI LINUX
PASSAGGIO 1: DOWNLOAD DI RKHUNTER
Innanzitutto, scarica l’ultima versione stabile dello strumento Rkhunter andando su http://rkhunter.sourceforge.net/ o usa il comando Wget di seguito per scaricarlo sui tuoi sistemi.
#cd/tmp # wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
PASSAGGIO 2: INSTALLAZIONE DI RKHUNTER
Dopo aver scaricato l’ultima versione, esegui i seguenti comandi come utente root per installarla.
# tar -xvf rkhunter-1.4.6.tar.gz # cd rkhunter-1.4.6 # ./installer.sh --layout default --install
ESEMPIO DI OUTPUT
Sistema di controllo per: File di installazione di Rootkit Hunter: trovati Un comando per il download di file Web: wget found Avvio dell'installazione: Controllo della directory di installazione "/usr/local": esiste ed è scrivibile. Controllo delle directory di installazione: Directory /usr/local/share/doc/rkhunter-1.4.2: creazione: OK Directory /usr/local/share/man/man8: esiste ed è scrivibile. Directory /etc: esiste ed è scrivibile. Directory /usr/local/bin: esiste ed è scrivibile. Directory /usr/local/lib64: esiste ed è scrivibile. Directory /var/lib: esiste ed è scrivibile. Directory /usr/local/lib64/rkhunter/scripts: creazione: OK Directory /var/lib/rkhunter/db: creazione: OK Directory /var/lib/rkhunter/tmp: creazione: OK Directory /var/lib/rkhunter/db/i18n: creazione: OK Directory /var/lib/rkhunter/db/signatures: creazione: OK Installazione di check_modules.pl: OK Installazione di filehashsha.pl: OK Installazione di stat.pl: OK Installazione di readlink.sh: OK Installazione di backdoorports.dat: OK Installazione di mirrors.dat: OK Installazione di programs_bad.dat: OK Installazione suspscan.dat: OK Installazione di rkhunter.8: OK Installazione RINGRAZIAMENTI: OK Installazione di CHANGELOG: OK Domande frequenti sull'installazione: OK Installazione della LICENZA: OK Installazione di README: OK Installazione dei file di supporto della lingua: OK Installazione delle firme ClamAV: OK Installazione di rkhunter: OK Installazione di rkhunter.conf: OK Installazione completata
PASSAGGIO 3: AGGIORNAMENTO DI RKHUNTER
Eseguire il programma di aggiornamento RKH per riempire le proprietà del database eseguendo il seguente comando.
# /usr/local/bin/rkhunter --update # /usr/local/bin/rkhunter --propupd
ESEMPIO DI OUTPUT
[ Cacciatore di rootkit versione 1.4.6 ] Controllo dei file di dati di rkhunter... Controllo del file mirrors.dat [Aggiornato] Verifica del file programmes_bad.dat [Nessun aggiornamento] Controllo del file backdoorports.dat [Nessun aggiornamento] Controllo del file suspscan.dat [Nessun aggiornamento] Verifica file i18n/cn [Nessun aggiornamento] Verifica file i18n/de [ Nessun aggiornamento ] Verifica file i18n/en [ Nessun aggiornamento ] Controllo del file i18n/tr [Nessun aggiornamento] Controllo del file i18n/tr.utf8 [ Nessun aggiornamento ] Controllo del file i18n/zh [ Nessun aggiornamento ] Verifica del file i18n/zh.utf8 [Nessun aggiornamento] Verifica del file i18n/ja [Nessun aggiornamento] File creato: cercato 177 file, trovato 131, hash mancanti 1
PASSAGGIO 4: IMPOSTAZIONE DI CRONJOB E AVVISI E-MAIL
Crea un file chiamato rkhunter.sh sotto /etc/cron.daily/ , che esegue la scansione del tuo file system ogni giorno e invia notifiche e-mail al tuo ID e-mail. Crea il seguente file con l’aiuto del tuo editor preferito.
# vi /etc/cron.daily/rkhunter.sh
Aggiungi le seguenti righe di codice e sostituisci ” YourServerNameHere ” con il tuo ” Server Name ” e ” your@email.com ” con il tuo ” Email Id “.
#!/bin/sh ( /usr/local/bin/rkhunter --versioncheck /usr/local/bin/rkhunter --update /usr/local/bin/rkhunter --cronjob --report-warnings-only ) | /bin/mail -s 'rkhunter Daily Run ( PutYourServerNameHere )' tuo@email.com
Imposta l’autorizzazione di esecuzione sul file.
# chmod 755 /etc/cron.daily/rkhunter.sh
PASSAGGIO 5: SCANSIONE MANUALE E UTILIZZO
Per scansionare l’intero file system, esegui Rkhunter come utente root.
# rkhunter --controlla
ESEMPIO DI OUTPUT
[ Cacciatore di rootkit versione 1.4.6 ] Controllo dei comandi di sistema... Esecuzione di controlli di comando 'stringhe' Controllo del comando 'stringhe' [ OK ] Esecuzione di controlli sulle "librerie condivise". Verifica delle variabili di precaricamento [Nessuna trovata] Controllo delle librerie precaricate [Nessuna trovata] Controllo della variabile LD_LIBRARY_PATH [Non trovato] Esecuzione di controlli delle proprietà dei file Controllo dei prerequisiti [ OK ] /usr/local/bin/rkhunter [ OK ] /usr/sbin/adduser [ OK ] /usr/sbin/chkconfig [OK] /usr/sbin/chroot [OK] /usr/sbin/depmod [OK] /usr/sbin/fsck [OK] /usr/sbin/fuser [OK] /usr/sbin/groupadd [OK] /usr/sbin/groupdel [OK] /usr/sbin/groupmod [OK] /usr/sbin/grpck [OK] /usr/sbin/ifconfig [OK] /usr/sbin/ifdown [ Avviso ] /usr/sbin/ifup [ Avviso ] /usr/sbin/init [OK] /usr/sbin/insmod [ OK ] /usr/sbin/ip [OK] /usr/sbin/lsmod [OK] /usr/sbin/lsof [OK] /usr/sbin/modinfo [OK] /usr/sbin/modprobe [OK] /usr/sbin/nologin [OK] /usr/sbin/pwck [OK] /usr/sbin/rmmod [OK] /usr/sbin/percorso [OK] /usr/sbin/rsyslogd [OK] /usr/sbin/runlevel [OK] /usr/sbin/sestatus [ OK ] /usr/sbin/sshd [OK] /usr/sbin/sulogin [OK] /usr/sbin/sysctl [ OK ] /usr/sbin/tcpd [OK] /usr/sbin/useradd [OK] /usr/sbin/userdel [OK] /usr/sbin/usermod [OK] .... [Premere per continuare] Controllo dei rootkit... Esecuzione del controllo di file e directory rootkit noti 55808 Trojan - Variante A [ Non trovato ] ADM Worm [Non trovato] AjaKit Rootkit [ Non trovato ] Adore Rootkit [Non trovato] aPa Kit [ Non trovato ] ..... [Premere per continuare] Esecuzione di ulteriori controlli rootkit Suckit Rookit controlli aggiuntivi [OK] Controllo di possibili file e directory rootkit [Nessuno trovato] Verifica di possibili stringhe rootkit [Nessuna trovata] .... [Premere per continuare] Controllo della rete... Esecuzione di controlli sulle porte di rete Verifica delle porte backdoor [Nessuna trovata] .... Esecuzione di controlli sui file di configurazione del sistema Ricerca di un file di configurazione SSH [Trovato] Verifica se l'accesso root SSH è consentito [ Avvertenza ] Verifica se il protocollo SSH v1 è consentito [Avviso] Ricerca di un demone di registrazione del sistema in esecuzione [Trovato] Ricerca di un file di configurazione della registrazione del sistema [Trovato] Verifica se la registrazione remota di syslog è consentita [Non consentito] ... Riepilogo dei controlli di sistema ===================== Verifiche delle proprietà dei file... File controllati: 137 File sospetti: 6 Controlli rootkit... Rootkit controllati: 383 Possibili rootkit: 0 Controllo delle applicazioni... Applicazioni controllate: 5 Applicazioni sospette: 2 I controlli di sistema hanno richiesto: 5 minuti e 38 secondi Tutti i risultati sono stati scritti nel file di registro: /var/log/rkhunter.log Durante il controllo del sistema sono stati rilevati uno o più avvisi. Controlla il file di registro (/var/log/rkhunter.log)
Il comando precedente genera un file di registro in /var/log/rkhunter.log con i risultati del controllo effettuato da Rkhunter .
# cat /var/log/rkhunter.log
ESEMPIO DI OUTPUT
[11:21:04] Esecuzione di Rootkit Hunter versione 1.4.6 su tecmint [11:21:04] [11:21:04] Informazioni: la data di inizio è lunedì 21 dicembre 11:21:04 IST 2020 [11:21:04] [11:21:04] Controllo del file di configurazione e delle opzioni della riga di comando... [11:21:04] Informazioni: il sistema operativo rilevato è "Linux" [11:21:04] Informazioni: nome del sistema operativo trovato: Fedora versione 33 (trentatre) [11:21:04] Informazioni: la riga di comando è /usr/local/bin/rkhunter --check [11:21:04] Informazioni: la shell dell'ambiente è /bin/bash; rkhunter sta usando bash [11:21:04] Info: Utilizzo del file di configurazione '/etc/rkhunter.conf' [11:21:04] Informazioni: la directory di installazione è '/usr/local' [11:21:04] Informazioni: Utilizzo della lingua 'en' [11:21:04] Informazioni: utilizzo di "/var/lib/rkhunter/db" come directory del database [11:21:04] Info: Utilizzo di '/usr/local/lib64/rkhunter/scripts' come directory dello script di supporto [11:21:04] Info: Utilizzo di '/usr/local/sbin /usr/local/bin /usr/sbin /usr/bin /bin /sbin /usr/libexec /usr/local/libexec' come directory dei comandi [11:21:04] Informazioni: utilizzo di "/var/lib/rkhunter/tmp" come directory temporanea [11:21:04] Informazioni: nessun indirizzo di avviso di posta configurato [11:21:04] Info: X verrà rilevato automaticamente [11:21:04] Informazioni: trovato il comando 'basename': /usr/bin/basename [11:21:04] Info: Trovato il comando 'diff': /usr/bin/diff [11:21:04] Info: Trovato il comando 'dirname': /usr/bin/dirname [11:21:04] Info: Trovato il comando 'file': /usr/bin/file [11:21:04] Informazioni: Trovato il comando 'find': /usr/bin/find [11:21:04] Informazioni: trovato il comando 'ifconfig': /usr/sbin/ifconfig [11:21:04] Informazioni: trovato il comando 'ip': /usr/sbin/ip [11:21:04] Info: Trovato il comando 'ipcs': /usr/bin/ipcs [11:21:04] Info: Trovato il comando 'ldd': /usr/bin/ldd [11:21:04] Info: Trovato il comando 'lsattr': /usr/bin/lsattr ...
Per ulteriori informazioni e opzioni, eseguire il seguente comando.
# rkhunter --aiuto
Se ti è piaciuto questo articolo, la condivisione è il modo giusto per dire grazie.
Trovate RootkitHunter nella sezione File e Download
