Cara Mengimbas Rootkits, Backdoors dan Eksploitasi Menggunakan 'Rootkit Hunter' di Linux

Guys, jika anda pembaca biasa Tecmint.com anda akan melihat bahawa ini adalah artikel ketiga kami mengenai alat keselamatan. Dalam dua artikel terdahulu kami, kami telah memberi anda semua panduan dalam cara menjamin Apache dan Sistem Linux dari Perisian hasad, Dos, dan DDOS Serangan menggunakan mod_security dan mod_evasif dan lmd (Linux malware mengesan).

Sekali lagi kami berada di sini untuk memperkenalkan alat keselamatan baru yang dipanggil Rkhunter (Rootkit Hunter). Artikel ini akan membimbing anda dengan cara untuk memasang dan mengkonfigurasi Rkh (Rootkit Hunter) dalam sistem linux menggunakan kod sumber.

Apa itu rkhunter?

Rkhunter (Rootkit Hunter) adalah alat pengimbas berasaskan unix/linux sumber terbuka untuk sistem linux yang dikeluarkan di bawah Gpl yang mengimbas backdoors, rootkits, dan eksploitasi tempatan pada sistem anda.

Ia mengimbas fail tersembunyi, kebenaran yang salah ditetapkan pada binari, rentetan yang mencurigakan di kernel, dll. Untuk mengetahui lebih lanjut mengenai RKHUNTER dan ciri -cirinya melawat http: // rkhunter.SourceForge.bersih/.

Pasang pengimbas rootkit pemburu dalam sistem linux

Langkah 1: Muat turun rkhunter

Pertama, muat turun versi stabil terbaru dari Rkhunter alat dengan pergi ke http: // rkhunter.SourceForge.bersih/ atau gunakan yang di bawah Wget Perintah untuk memuat turunnya di sistem anda.

# cd/tmp # wget http: // muat turun.SourceForge.bersih/projek/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.Gz

Langkah 2: Memasang rkhunter

Sebaik sahaja anda telah memuat turun versi terkini, jalankan arahan berikut sebagai akar pengguna untuk memasangnya.

# tar -xvf rkhunter -1.4.6.tar.GZ # CD RKHUNTER-1.4.6 # ./pemasang.sh -lalai lalai -pemasangan

Output sampel

Sistem memeriksa untuk: Fail Pemasang Rootkit Hunter: Menemukan Perintah Muat turun Fail Web: Wget Ditemui Permulaan Pemasangan: Memeriksa Direktori Pemasangan "/USR/Local": Ia wujud dan boleh ditulis. Memeriksa Direktori Pemasangan: Direktori/USR/Local/Share/Doc/rkhunter-1.4.2: Mencipta: OK Direktori/USR/Local/Share/Man/Man8: Ada dan boleh ditulis. Direktori /etc: wujud dan boleh ditulis. Direktori/usr/tempatan/bin: wujud dan boleh ditulis. Direktori/usr/local/lib64: wujud dan boleh ditulis. Direktori /var /lib: ada dan boleh ditulis. Direktori/usr/local/lib64/rkhunter/skrip: mencipta: ok direktori/var/lib/rkhunter/db: mencipta: ok direktori/var/lib/rkhunter/tmp: mencipta: ok direktori/var/lib/rkhunter/db /i18n: mencipta: ok direktori/var/lib/rkhunter/db/tandatangan: mencipta: ok memasang check_modules.Pl: ok memasang failhashsha.Pl: ok memasang statistik.Pl: ok memasang bacaan.SH: OK memasang backdoorports.dat: ok memasang cermin.dat: ok memasang program_bad.dat: ok memasang suspscan.dat: ok memasang rkhunter.8: ok memasang pengakuan: ok memasang changelog: ok memasang soalan: ok pemasangan lesen: ok memasang readme: ok memasang fail sokongan bahasa: ok memasang tanda tangan clamav: ok memasang rkhunter: ok memasang rkhunter.Conf: Pemasangan OK Lengkap 

Langkah 3: Mengemas kini rkhunter

Jalankan Rkh pengemaskinian untuk mengisi sifat pangkalan data dengan menjalankan arahan berikut.

#/usr/local/bin/rkhunter --update #/usr/local/bin/rkhunter --propupd

Output sampel

[Rootkit Hunter Versi 1.4.6] Memeriksa fail data rkhunter… Memeriksa cermin fail.dat [dikemas kini] memeriksa program fail_bad.dat [tiada kemas kini] menyemak backdoorports fail.dat [tiada kemas kini] memeriksa fail suspscan.DAT [Tiada kemas kini] Memeriksa fail I18N/CN [Tiada kemas kini] Memeriksa Fail I18N/DE [NO UPDATE] Memeriksa Fail I18N/EN [NO UPDATE] Memeriksa Fail I18N/TR [NO UPDATE] Memeriksa Fail I18N/TR.UTF8 [Tiada Kemas Kini] Memeriksa Fail I18N/ZH [Tiada Kemas Kini] Memeriksa Fail I18N/ZH.Fail UTF8 [Tiada Kemas Kini] Memeriksa Fail I18N/JA [Tiada Kemas Kini] Dibuat: Mencari 177 fail, dijumpai 131, Hash Hash 1 

Langkah 4: Menetapkan Makluman Cronjob dan E -mel

Buat fail yang dipanggil rkhunter.sh di bawah /etc/cron.setiap hari/, Yang kemudian mengimbas sistem fail anda setiap hari dan menghantar pemberitahuan e -mel ke ID e -mel anda. Buat fail berikut dengan bantuan editor kegemaran anda.

# vi /etc /cron.Harian/Rkhunter.sh

Tambahkan baris kod berikut dan ganti "YourservernameHere"Dengan anda"Nama pelayan"Dan"[dilindungi e -mel]"Dengan anda"ID emel".

#!/bin/sh (/usr/local/bin/rkhunter --versioncheck/usr/local/bin/rkhunter --update/usr/local/bin/rkhunter --cronjob-report-warnings-only) | /Bin/Mail -s 'Rkhunter Daily Run (PutyourservernameHere) ' [dilindungi e -mel]

Tetapkan kebenaran melaksanakan fail pada fail.

# chmod 755 /etc /cron.Harian/Rkhunter.sh

Langkah 5: Imbasan dan Penggunaan Manual

Untuk mengimbas keseluruhan sistem fail, jalankan Rkhunter Sebagai pengguna akar.

# rkhunter -scheck

Output sampel

[Rootkit Hunter Versi 1.4.6] Memeriksa Perintah Sistem ... Melaksanakan Pemeriksaan Perintah 'Strings' Memeriksa 'String' Command [OK] Melaksanakan 'Perpustakaan Berkongsi' Pemeriksaan Memeriksa Pembolehubah Preloading [Tiada yang dijumpai] Memeriksa Perpustakaan Preloaded [Tiada Ditemui] Memeriksa Pembolehubah LD_LIBRARY_PATH Ciri -ciri Ciri -ciri Fail Memeriksa Prasyarat [OK]/usr/local/bin/rkhunter [OK]/usr/sbin/adduser [OK]/usr/sbin/chkconfig [ok]/usr/sbin/chroot [ok]/usr/ sbin/depmod [OK]/usr/sbin/fsck [OK]/usr/sbin/fuser [OK]/usr/sbin/groupadd [OK]/usr/sbin/groupdel [OK]/usr/sbin/groupmod [OK ]/usr/sbin/grpck [OK]/usr/sbin/ifconfig [OK]/usr/sbin/ifdown [amaran]/usr/sbin/ifup [amaran]/usr/sbin/init [ok]/usr/sbin /insmod [OK]/usr/sbin/ip [OK]/usr/sbin/lsmod [OK]/usr/sbin/lsof [OK]/usr/sbin/modinfo [ok]/usr/sbin/modprobe [OK] /usr/sbin/nologin [OK]/usr/sbin/pwck [OK]/usr/sbin/rmmod [OK]/usr/sbin/route [OK]/usr/sbin/rsyslogd [ok]/usr/sbin/runlevel [ok]/usr/sbin/ Sestatus [OK]/usr/sbin/sshd [OK]/usr/sbin/sulogin [OK]/usr/sbin/sysctl [OK]/usr/sbin/tcpd [ok]/usr/sbin/useradd [ok]/ usr/sbin/userdel [OK]/usr/sbin/usermod [OK] ... [tekan untuk meneruskan] Memeriksa rootkits ... melakukan pemeriksaan fail dan direktori rootkit yang diketahui 55808 trojan -Variasi a [tidak dijumpai] cacing adm [tidak dijumpai] ajakit rootkit [tidak dijumpai] memuja rootkit [tidak dijumpai] apa kit [tidak dijumpai] ... [tekan untuk meneruskan] melakukan pemeriksaan rootkit tambahan suckit rookit cek [ok] Fail dan direktori rootkit [Tiada yang dijumpai] Memeriksa rentetan rootkit yang mungkin [tidak dijumpai] ... [tekan untuk meneruskan] Memeriksa rangkaian ... melakukan pemeriksaan pada port rangkaian yang memeriksa port backdoor [tidak ada yang dijumpai] ... melakukan pemeriksaan fail konfigurasi sistem untuk memeriksa Fail konfigurasi SSH [didapati] menyemak jika akses akar ssh dibenarkan [amaran] memeriksa jika protokol ssh v1 dibenarkan [amaran] memeriksa daemon pembalakan sistem berjalan [dijumpai] memeriksa fail konfigurasi pembalakan sistem [didapati] Pembalakan dibenarkan [tidak dibenarkan] ... Sistem Pemeriksaan Sistem ==================== FailCek Properties ... fail yang diperiksa: 137 Fail Suspek: 6 Pemeriksaan Rootkit ... Rootkits diperiksa: 383 Kemungkinan Rootkits: 0 Permohonan Permohon Fail log:/var/log/rkhunter.Log satu atau lebih amaran telah dijumpai semasa memeriksa sistem. Sila periksa fail log (/var/log/rkhunter.log) 

Perintah di atas menghasilkan fail log di bawah /var/log/rkhunter.log dengan hasil cek yang dibuat oleh Rkhunter.

# kucing/var/log/rkhunter.log 

Output sampel

[11:21:04] Running Rootkit Hunter Versi 1.4.6 di Tecmint [11:21:04] [11:21:04] Maklumat: Tarikh Mula adalah Isnin 21 Dis 11:21:04 pagi IST 2020 [11:21:04] [11:21:04] Memeriksa fail konfigurasi dan pilihan baris arahan ... [11:21:04] Maklumat: Sistem operasi yang dikesan adalah 'Linux' [11:21:04] Maklumat: Ditemui O/s Nama: Fedora Release 33 (Tiga Puluh Tiga) [11:21:04 ] Maklumat: baris perintah adalah/usr/local/bin/rkhunter --check [11:21:04] Info: shell persekitaran adalah/bin/bash; Rkhunter menggunakan Bash [11:21:04] Maklumat: Menggunakan fail konfigurasi '/etc/rkhunter.Conf '[11:21:04] Maklumat: Direktori pemasangan adalah'/usr/local '[11:21:04] Maklumat: Menggunakan bahasa' en '[11:21:04] Maklumat: Menggunakan'/var/lib/ rkhunter/db 'sebagai direktori pangkalan data [11:21:04] Maklumat: Menggunakan'/usr/local/lib64/rkhunter/script 'sebagai direktori skrip sokongan [11:21:04] Maklumat: Menggunakan'/usr/lokal /sbin/usr/local/bin/usr/sbin/usr/bin/bin/sbin/usr/libexec/usr/local/libexec 'sebagai direktori arahan [11:21:04] info: menggunakan'/var/lib /rkhunter/tmp 'sebagai direktori sementara [11:21:04] Info: Tiada alamat mel yang dikonfigurasi [11:21:04] Maklumat: X akan dikesan secara automatik [11:21:04] Perintah 'Basename':/usr/bin/base [11:21:04] Maklumat: Menemukan perintah 'diff':/usr/bin/diff [11:21:04] Maklumat: Menemukan perintah 'dirname': /usr/bin/dirname [11:21:04] Info: Menemukan perintah 'Fail':/usr/bin/File [11:21:04] Info: Found the 'cari' perintah:/usr/bin/cari [11:21:04] INFO: Menemukan perintah 'ifconfig':/usr/sbin/ifconfig [11:21:04] info: mendapati perintah 'ip':/usr/sbin/ip [11:21:04] Perintah 'IPCS':/usr/bin/ipcs [11:21:04] Maklumat: Menemukan perintah 'ldd':/usr/bin/ldd [11:21:04] Maklumat: Menemukan perintah 'lsattr':/ usr/bin/lsattr .. 

Untuk maklumat lanjut dan pilihan sila jalankan arahan berikut.

# RKHUNTER -HELP

Sekiranya anda menyukai artikel ini, maka berkongsi adalah cara yang betul untuk mengucapkan terima kasih.