Gente, se você é um leitor regular de tecmint.com, notará que este é o nosso terceiro artigo sobre ferramentas de segurança. Em nossos dois artigos anteriores, demos a você todas as orientações sobre como proteger Apache e Sistemas Linux a partir de Malware, DOS, e DDOS ataques usando mod_security e mod_evasive e LMD (Linux Malware Detect).
Mais uma vez, estamos aqui para apresentar uma nova ferramenta de segurança chamada Rkhunter (Rootkit Hunter). Este artigo irá guiá-lo sobre como instalar e configurar RKH (RootKit Hunter) em sistemas Linux usando o código-fonte.
Rkhunter (Rootkit Hunter) é uma ferramenta de varredura de código aberto baseada em Unix / Linux para sistemas Linux lançada sob GPL que verifica backdoors, rootkits e exploits locais em seus sistemas.
Ele verifica arquivos ocultos, permissões erradas definidas em binários, strings suspeitas no kernel, etc. Para saber mais sobre o Rkhunter e seus recursos, visite http://rkhunter.sourceforge.net/.
Primeiro, baixe a última versão estável do Rkhunter ferramenta indo para http://rkhunter.sourceforge.net/ ou use o abaixo Wget comando para baixá-lo em seus sistemas.
# cd / tmp. # wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
Depois de baixar a versão mais recente, execute os seguintes comandos como um raiz usuário para instalá-lo.
# tar -xvf rkhunter-1.4.6.tar.gz # cd rkhunter-1.4.6. # ./installer.sh --layout default --install
Verificando o sistema para: Arquivos do instalador do Rootkit Hunter: encontrado Um comando de download de arquivo da web: wget encontrado. Iniciando a instalação: Verificando o diretório de instalação "/ usr / local": ele existe e é gravável. Verificando os diretórios de instalação: Diretório /usr/local/share/doc/rkhunter-1.4.2: criando: OK Diretório / usr / local / share / man / man8: existe e é gravável. Diretório / etc: existe e é gravável. Diretório / usr / local / bin: existe e é gravável. Diretório / usr / local / lib64: existe e é gravável. Diretório / var / lib: existe e é gravável. Diretório / usr / local / lib64 / rkhunter / scripts: criando: OK Diretório / var / lib / rkhunter / db: criando: OK Diretório / var / lib / rkhunter / tmp: criando: OK Diretório / var / lib / rkhunter / db / i18n: criando: OK Diretório / var / lib / rkhunter / db / assinaturas: criando: OK Instalando check_modules.pl: OK Instalando filehashsha.pl: OK Instalando stat.pl: OK Instalando readlink.sh: OK Instalando backdoorports.dat: OK Instalando mirrors.dat: OK Instalando programs_bad.dat: OK Instalando suspscan.dat: OK Instalando rkhunter.8: OK Instalando RECONHECIMENTOS: OK Instalando CHANGELOG: OK Instalando FAQ: OK Instalando LICENÇA: OK Instalando README: OK Instalando arquivos de suporte a idiomas: OK Instalando assinaturas do ClamAV: OK Instalando rkhunter: OK Instalando rkhunter.conf: OK. Instalação completa.
Execute o RKH atualizador para preencher as propriedades do banco de dados executando o seguinte comando.
# / usr / local / bin / rkhunter --update. # / usr / local / bin / rkhunter --propupd
[Rootkit Hunter versão 1.4.6] Verificando arquivos de dados rkhunter... Verificando o arquivo mirrors.dat [Atualizado] Verificando o arquivo programs_bad.dat [Sem atualização] Verificando o arquivo backdoorports.dat [Sem atualização] Verificando o arquivo suspscan.dat [Sem atualização] Verificando o arquivo i18n / cn [Sem atualização] Verificando o arquivo i18n / de [Sem atualização] Verificando o arquivo i18n / en [Sem atualização] Verificando o arquivo i18n / tr [Sem atualização] Verificando o arquivo i18n / tr.utf8 [Sem atualização] Verificando o arquivo i18n / zh [Sem atualização] Verificando o arquivo i18n / zh.utf8 [Sem atualização] Verificando o arquivo i18n / ja [Sem atualização] Arquivo criado: procurou 177 arquivos, encontrou 131, hashes ausentes 1.
Crie um arquivo chamado rkhunter.sh debaixo /etc/cron.daily/, que então verifica seu sistema de arquivos todos os dias e envia notificações por e-mail para o seu id de e-mail. Crie o seguinte arquivo com a ajuda de seu editor favorito.
# vi /etc/cron.daily/rkhunter.sh
Adicione as seguintes linhas de código e substitua “YourServerNameHere" com o seu "Nome do servidor" e "[email protegido]" com o seu "Identificação do email“.
#! / bin / sh. ( / usr / local / bin / rkhunter --versioncheck. / usr / local / bin / rkhunter --update. / usr / local / bin / rkhunter --cronjob --report-warnings-only. ) | / bin / mail -s 'rkhunter Daily Run (PutYourServerNameHere)' [email protegido]
Defina a permissão de execução no arquivo.
# chmod 755 /etc/cron.daily/rkhunter.sh
Para verificar todo o sistema de arquivos, execute o Rkhunter como usuário root.
# rkhunter --check
[Rootkit Hunter versão 1.4.6] Verificando comandos do sistema... Executando verificações de comando 'strings' Verificando comando 'strings' [OK] Executando verificações de 'bibliotecas compartilhadas' Verificando variáveis de pré-carregamento [Nenhum encontrado] Verificando bibliotecas pré-carregadas [Nenhum encontrado] Verificando a variável LD_LIBRARY_PATH [Não encontrado] Executando verificações de propriedades do arquivo Verificando os pré-requisitos [OK] / usr / local / bin / rkhunter [OK] / usr / sbin / adduser [OK] / usr / sbin / chkconfig [OK] / usr / sbin / chroot [OK] / usr / sbin / depmod [OK] / usr / sbin / fsck [OK] / usr / sbin / fuser [OK] / usr / sbin / groupadd [OK] / usr / sbin / groupdel [OK] / usr / sbin / groupmod [OK] / usr / sbin / grpck [OK] / usr / sbin / ifconfig [OK] / usr / sbin / ifdown [Aviso] / usr / sbin / ifup [Aviso] / usr / sbin / init [OK] / usr / sbin / insmod [OK] / usr / sbin / ip [OK] / usr / sbin / lsmod [OK] / usr / sbin / lsof [OK] / usr / sbin / modinfo [OK] / usr / sbin / modprobe [OK] / usr / sbin / nologin [OK] / usr / sbin / pwck [OK] / usr / sbin / rmmod [OK] / usr / sbin / route [OK] / usr / sbin / rsyslogd [OK] / usr / sbin / runlevel [OK] / usr / sbin / sestatus [OK] / usr / sbin / sshd [OK] / usr / sbin / sulogin [OK] / usr / sbin / sysctl [OK] / usr / sbin / tcpd [OK] / usr / sbin / useradd [OK] / usr / sbin / userdel [OK] / usr / sbin / usermod [OK]... [Pressione para continuar] Verificando rootkits... Verificação de diretórios e arquivos rootkit conhecidos 55808 Trojan - Variante A [Não encontrado] ADM Worm [Não encontrado] AjaKit Rootkit [Não encontrado] Adore Rootkit [Não encontrado] Kit aPa [Não encontrado]... [Pressione para continuar] Executando verificações adicionais de rootkit Suckit Rookit verificações adicionais [OK] Verificando possíveis arquivos e diretórios de rootkit [Nenhum encontrado] Verificando possíveis strings de rootkit [Nenhum encontrado]... [Pressione para continuar] Verificando a rede... Executando verificações nas portas de rede Verificando portas backdoor [Nenhuma encontrada]... Executando verificações do arquivo de configuração do sistema Verificando um arquivo de configuração SSH [encontrado] Verificando se o acesso raiz SSH é permitido [Aviso] Verificando se o protocolo SSH v1 é permitido [ Aviso] Verificando se há um daemon de log do sistema em execução [Encontrado] Verificando um arquivo de configuração de log do sistema [Encontrado] Verificando se o log remoto do syslog é permitido [Não permitido ]... Resumo das verificações do sistema. Verificações de propriedades do arquivo... Arquivos verificados: 137 Arquivos suspeitos: 6 verificações de rootkit... Rootkits verificados: 383 Rootkits possíveis: 0 Verificações de aplicativos... Aplicativos verificados: 5 Aplicativos suspeitos: 2 As verificações do sistema demoraram: 5 minutos e 38 segundos. Todos os resultados foi gravado no arquivo de log: /var/log/rkhunter.log Um ou mais avisos foram encontrados durante a verificação do sistema. Verifique o arquivo de log (/var/log/rkhunter.log)
O comando acima gera um arquivo de log em /var/log/rkhunter.log com os resultados da verificação feita por Rkhunter.
# cat /var/log/rkhunter.log.
[11:21:04] Executando o Rootkit Hunter versão 1.4.6 no tecmint. [11:21:04] [11h21:04] Informações: a data de início é Seg 21 de dezembro 11h21:04 IST 2020. [11:21:04] [11:21:04] Verificando arquivo de configuração e opções de linha de comando... [11:21:04] Informações: O sistema operacional detectado é 'Linux' [11:21:04] Informações: Nome O / S encontrado: Fedora versão 33 (trinta e três) [11:21:04] Informação: A linha de comando é / usr / local / bin / rkhunter --check. [11:21:04] Informação: O shell do ambiente é / bin / bash; O rkhunter está usando o bash. [11:21:04] Informações: Usando o arquivo de configuração '/etc/rkhunter.conf' [11:21:04] Informação: O diretório de instalação é '/ usr / local' [11:21:04] Informações: usando a linguagem 'en' [11:21:04] Informação: Usando '/ var / lib / rkhunter / db' como o diretório do banco de dados. [11:21:04] Informação: Usando '/ usr / local / lib64 / rkhunter / scripts' como o diretório de script de suporte. [11:21:04] Informação: Usando '/ usr / local / sbin / usr / local / bin / usr / sbin / usr / bin / bin / sbin / usr / libexec / usr / local / libexec' como os diretórios de comando. [11:21:04] Informação: Usando '/ var / lib / rkhunter / tmp' como o diretório temporário. [11:21:04] Informações: Nenhum endereço de e-mail em aviso configurado. [11:21:04] Info: X será detectado automaticamente. [11:21:04] Informação: Encontrado o comando 'basename': / usr / bin / basename. [11:21:04] Informação: Encontrado o comando 'diff': / usr / bin / diff. [11:21:04] Informação: Encontrado o comando 'dirname': / usr / bin / dirname. [11:21:04] Informação: Encontrado o comando 'arquivo': / usr / bin / arquivo. [11:21:04] Informação: Encontrado o comando 'find': / usr / bin / find. [11:21:04] Informação: Encontrado o comando 'ifconfig': / usr / sbin / ifconfig. [11:21:04] Informação: Encontrado o comando 'ip': / usr / sbin / ip. [11:21:04] Informação: Encontrado o comando 'ipcs': / usr / bin / ipcs. [11:21:04] Informação: Encontrado o comando 'ldd': / usr / bin / ldd. [11:21:04] Informação: Encontrado o comando 'lsattr': / usr / bin / lsattr ...
Para obter mais informações e opções, execute o seguinte comando.
# rkhunter --help
Se você gostou deste artigo, compartilhar é a maneira certa de agradecer.