Chicos, si son lectores habituales de tecmint.com, notarán que este es nuestro tercer artículo sobre herramientas de seguridad. En nuestros dos artículos anteriores, le hemos dado toda la orientación sobre cómo proteger apache y Sistemas Linux desde Software malicioso, DOS, y DDOS ataques usando mod_security y mod_evasive y LMD (detección de malware de Linux).
Nuevamente estamos aquí para presentar una nueva herramienta de seguridad llamada Rkhunter (Cazador de rootkits). Este artículo lo guiará sobre la forma de instalar y configurar RKH (Cazador de RootKit) en sistemas Linux utilizando código fuente.
Rkhunter (Cazador de rootkits) es una herramienta de escaneo basada en Unix / Linux de código abierto para sistemas Linux lanzada bajo GPL que escanea puertas traseras, rootkits y exploits locales en sus sistemas.
Analiza archivos ocultos, permisos incorrectos establecidos en binarios, cadenas sospechosas en el kernel, etc. Para saber más sobre Rkhunter y sus características, visite
http://rkhunter.sourceforge.net/.Primero, descargue la última versión estable del Rkhunter herramienta yendo a http://rkhunter.sourceforge.net/ o usa el siguiente Wget comando para descargarlo en sus sistemas.
# cd / tmp. # wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
Una vez que haya descargado la última versión, ejecute los siguientes comandos como raíz usuario para instalarlo.
# tar -xvf rkhunter-1.4.6.tar.gz # cd rkhunter-1.4.6. # ./installer.sh --layout predeterminado --install
Comprobando el sistema para: archivos de instalación de Rootkit Hunter: encontrado Un comando de descarga de archivo web: wget encontrado. Iniciando la instalación: Verificando el directorio de instalación "/ usr / local": existe y se puede escribir. Comprobando los directorios de instalación: Directorio /usr/local/share/doc/rkhunter-1.4.2: creando: OK Directorio / usr / local / share / man / man8: existe y se puede escribir. Directorio / etc: existe y se puede escribir. Directorio / usr / local / bin: existe y se puede escribir. Directorio / usr / local / lib64: existe y se puede escribir. Directory / var / lib: existe y se puede escribir. Directorio / usr / local / lib64 / rkhunter / scripts: creando: OK Directorio / var / lib / rkhunter / db: creando: OK Directorio / var / lib / rkhunter / tmp: creando: OK Directorio / var / lib / rkhunter / db / i18n: creando: OK Directorio / var / lib / rkhunter / db / signatures: creando: OK Instalando check_modules.pl: OK Instalando filehashsha.pl: OK Instalando stat.pl: OK Instalando readlink.sh: OK Instalando backdoorports.dat: OK Instalando mirrors.dat: OK Instalando programas_bad.dat: OK Instalando suspscan.dat: OK Instalando rkhunter.8: OK Instalando RECONOCIMIENTOS: OK Instalando CAMBIAR: OK Instalar FAQ: OK Instalar LICENSE: OK Instalar README: OK Instalar archivos de soporte de idiomas: OK Instalar firmas ClamAV: OK Instalar rkhunter: OK Instalar rkhunter.conf: OK. Instalación completa.
Ejecutar el RKH actualizador para completar las propiedades de la base de datos ejecutando el siguiente comando.
# / usr / local / bin / rkhunter --update. # / usr / local / bin / rkhunter --propupd
[Rootkit Hunter versión 1.4.6] Comprobando archivos de datos rkhunter... Comprobando archivo mirrors.dat [Actualizado] Comprobando archivo programas_bad.dat [Sin actualización] Comprobando archivo backdoorports.dat [Sin actualización] Comprobando archivo suspscan.dat [Sin actualización] Comprobando archivo i18n / cn [Sin actualización] Comprobando archivo i18n / de [Sin actualización] Comprobando archivo i18n / en [Sin actualización] Comprobando archivo i18n / tr [Sin actualización] Comprobando archivo i18n / tr.utf8 [Sin actualización] Comprobando archivo i18n / zh [Sin actualización] Comprobando archivo i18n / zh.utf8 [Sin actualización] Comprobando archivo i18n / ja [Sin actualización] Archivo creado: buscó 177 archivos, encontró 131, faltan hashes 1.
Crea un archivo llamado rkhunter.sh bajo /etc/cron.daily/, que luego escanea su sistema de archivos todos los días y envía notificaciones por correo electrónico a su identificación de correo electrónico. Cree el siguiente archivo con la ayuda de su editor favorito.
# vi /etc/cron.daily/rkhunter.sh
Agregue las siguientes líneas de código y reemplace "YourServerNameHere" con tu "Nombre del servidor" y "[correo electrónico protegido]" con tu "Identificación de correo“.
#! / bin / sh. ( / usr / local / bin / rkhunter --versioncheck. / usr / local / bin / rkhunter --update. / usr / local / bin / rkhunter --cronjob --report-warnings-only. ) | / bin / mail -s 'rkhunter Ejecución diaria (PutYourServerName Here)' [correo electrónico protegido]
Establezca el permiso de ejecución en el archivo.
# chmod 755 /etc/cron.daily/rkhunter.sh
Para escanear todo el sistema de archivos, ejecute el Rkhunter como usuario root.
# rkhunter --check
[Rootkit Hunter versión 1.4.6] Comprobando los comandos del sistema... Realización de comprobaciones de comando 'strings' Comprobación del comando 'strings' [OK] Realización de comprobaciones de 'bibliotecas compartidas' Comprobación de variables de carga previa [No se encontró ninguna] Comprobación de bibliotecas precargadas [Ninguna encontrado] Comprobando la variable LD_LIBRARY_PATH [No encontrado] Realizando comprobaciones de propiedades del archivo Comprobando los prerrequisitos [OK] / usr / local / bin / rkhunter [OK] / usr / sbin / adduser [OK] / usr / sbin / chkconfig [OK] / usr / sbin / chroot [OK] / usr / sbin / depmod [OK] / usr / sbin / fsck [OK] / usr / sbin / fuser [OK] / usr / sbin / groupadd [Aceptar] / usr / sbin / groupdel [Aceptar] / usr / sbin / groupmod [Aceptar] / usr / sbin / grpck [OK] / usr / sbin / ifconfig [OK] / usr / sbin / ifdown [Advertencia] / usr / sbin / ifup [Advertencia] / usr / sbin / init [OK] / usr / sbin / insmod [Aceptar] / usr / sbin / ip [Aceptar] / usr / sbin / lsmod [Aceptar] / usr / sbin / lsof [OK] / usr / sbin / modinfo [OK] / usr / sbin / modprobe [OK] / usr / sbin / nologin [OK] / usr / sbin / pwck [OK] / usr / sbin / rmmod [OK] / usr / sbin / route [OK] / usr / sbin / rsyslogd [OK] / usr / sbin / runlevel [OK] / usr / sbin / sestatus [OK] / usr / sbin / sshd [OK] / usr / sbin / sulogin [OK] / usr / sbin / sysctl [OK] / usr / sbin / tcpd [Aceptar] / usr / sbin / useradd [Aceptar] / usr / sbin / userdel [Aceptar] / usr / sbin / usermod [Aceptar]... [Pulse para continuar] Comprobando rootkits... Comprobación de directorios y archivos rootkit conocidos 55808 Trojan - Variante A [No encontrado] Gusano ADM [No encontrado] AjaKit Rootkit [No encontrado] Adore Rootkit [No encontrado] aPa Kit [No encontrado]... [Pulse para continuar] Realización de comprobaciones adicionales de rootkit Suckit Comprobaciones adicionales de Rookit [Aceptar] Comprobando posibles archivos y directorios de rootkit [No se encontró ninguno] Comprobando posibles cadenas de rootkit [No se encontró ninguno]... [Pulsar para continuar] Comprobando la red... Realización de comprobaciones en los puertos de red Comprobación de puertos de puerta trasera [No se ha encontrado]... Realización de comprobaciones de archivos de configuración del sistema Comprobación de un archivo de configuración SSH [Encontrado] Comprobación de si se permite el acceso raíz SSH [Advertencia] Comprobación de si se permite el protocolo SSH v1 [ Advertencia] Comprobando si hay un demonio de registro del sistema en ejecución [Encontrado] Comprobando un archivo de configuración de registro del sistema [Encontrado] Comprobando si se permite el registro remoto de syslog [No permitido ]... Resumen de comprobaciones del sistema. Comprobaciones de propiedades de archivo... Archivos comprobados: 137 Archivos sospechosos: 6 comprobaciones de rootkit... Rootkits comprobados: 383 Posibles rootkits: 0 Comprobaciones de aplicaciones... Aplicaciones comprobadas: 5 Aplicaciones sospechosas: 2 Las comprobaciones del sistema tardaron: 5 minutos y 38 segundos Todos los resultados se ha escrito en el archivo de registro: /var/log/rkhunter.log Se han encontrado una o más advertencias al comprobar la sistema. Consulte el archivo de registro (/var/log/rkhunter.log)
El comando anterior genera un archivo de registro en /var/log/rkhunter.log con los resultados de las comprobaciones realizadas por Rkhunter.
# cat /var/log/rkhunter.log.
[11:21:04] Ejecutando Rootkit Hunter versión 1.4.6 en tecmint. [11:21:04] [11:21:04] Información: La fecha de inicio es el lunes 21 de diciembre a las 11:21:04 a.m. IST de 2020. [11:21:04] [11:21:04] Comprobando el archivo de configuración y las opciones de la línea de comandos... [11:21:04] Información: El sistema operativo detectado es 'Linux' [11:21:04] Información: Nombre de O / S encontrado: Versión 33 de Fedora (Treinta y tres) [11:21:04] Información: La línea de comando es / usr / local / bin / rkhunter --check. [11:21:04] Información: El shell del entorno es / bin / bash; rkhunter está usando bash. [11:21:04] Información: Usando el archivo de configuración '/etc/rkhunter.conf' [11:21:04] Información: El directorio de instalación es '/ usr / local' [11:21:04] Información: Uso del idioma 'en' [11:21:04] Información: Usando '/ var / lib / rkhunter / db' como directorio de la base de datos. [11:21:04] Información: Usando '/ usr / local / lib64 / rkhunter / scripts' como directorio de scripts de soporte. [11:21:04] Información: Usando '/ usr / local / sbin / usr / local / bin / usr / sbin / usr / bin / bin / sbin / usr / libexec / usr / local / libexec' como directorios de comandos. [11:21:04] Información: Usando '/ var / lib / rkhunter / tmp' como directorio temporal. [11:21:04] Información: No se ha configurado ninguna dirección de correo de advertencia. [11:21:04] Información: X se detectará automáticamente. [11:21:04] Información: Se encontró el comando 'nombre base': / usr / bin / nombre base. [11:21:04] Información: Se encontró el comando 'diff': / usr / bin / diff. [11:21:04] Información: Se encontró el comando 'dirname': / usr / bin / dirname. [11:21:04] Información: Se encontró el comando 'archivo': / usr / bin / file. [11:21:04] Información: Encontré el comando 'buscar': / usr / bin / find. [11:21:04] Información: Se encontró el comando 'ifconfig': / usr / sbin / ifconfig. [11:21:04] Información: Encontré el comando 'ip': / usr / sbin / ip. [11:21:04] Información: Se encontró el comando 'ipcs': / usr / bin / ipcs. [11:21:04] Información: Se encontró el comando 'ldd': / usr / bin / ldd. [11:21:04] Información: Se encontró el comando 'lsattr': / usr / bin / lsattr ...
Para obtener más información y opciones, ejecute el siguiente comando.
# rkhunter --help
Si te gustó este artículo, compartir es la forma correcta de agradecer.