Hướng dẫn cài đặt Rkhunter quét rootkit trên CentOS

Rootkit Hunter (rkhunter) là một công cụ cơ bản để quét rootkit, backdoor và các lỗ hổng trong hệ thống của bạn. Rootkit là một phần mềm độc hại được tạo ra để giành quyền truy cập root vào hệ thống và có thể ẩn nó khỏi phần mềm chống vi-rút. Cách phổ biến nhất để cài đặt rootkit trên máy của bạn là thông qua trojan, lỗ hổng zero day, email có File lạ, lướt web hoặc đơn giản là bị bẻ Key mật khẩu.

Rootkit là một bộ công cụ có thể tự cài đặt lén lút để cho phép người đó có quyền truy cập vào hệ thống.

Phần mềm Thợ săn Rootkit Thường được bảo vệ bằng cách so sánh hàm băm SHA1 của một File quan trọng với mẫu băm File sạch trong cơ sở dữ liệu, một số tính năng hoạt động như sau:

– So sánh hàm băm MD5.

– Tìm File mặc định được rootkit sử dụng.

– Các lũy thừa sai của chương trình nhị phân.

– Tìm các chuỗi bất thường ở các phần LKM và KLD.

– Tìm các tập tin ẩn.

– Tùy chỉnh kiểu quét với các File bản rõ và nhị phân.

– Thực hiện kiểm tra cụ thể trojan như kiểm tra dịch vụ xinetd.

Thực hiện phát hiện phần mềm độc hại bao gồm kiểm tra các cửa hậu, File nhật ký giả mạo và các thư mục đáng ngờ khác.

– Thực hiện kiểm tra hệ thống khởi động.

1. Tải xuống rootkit Hunter

Tải xuống phiên bản mới nhất của Rkhunter bằng dòng lệnh wget. Thư mục nằm trong đường dẫn / usr / local / src là nơi bạn nên đặt chương trình.

Mình nghĩ bạn cần xem =>  Cách Reset lại DNS Cache trong MacOS High Sierra

Tải phiên bản mới nhất tại liên kết: https://rootkit.nl/software/rootkit-hunter/

# cd / usr / local / src /

# wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz

2. Cài đặt rootkit Hunter

Khi bạn đã tải xuống phiên bản rkhunter mới nhất, hãy chạy các lệnh sau để cài đặt chương trình.

# tar -zxvf rkhunter-1.4.2.tar.gz

# cd rkhunter-1.4.2

# ./installer.sh –layout default –install

# / usr / local / bin / rkhunter – cập nhật

# / usr / local / bin / rkhunter –propupd

# rm -Rf / usr / local / src / rkhunter *

3. Tự động kiểm tra hệ thống với Rootkit Hunter

Tạo một File script chạy cronjobs hàng ngày.

# nano -w /etc/cron.daily/rkhunter.sh

và:

#! / bin / sh

(

/ usr / local / bin / rkhunter –versioncheck

/ usr / local / bin / rkhunter – cập nhật

/ usr / local / bin / rkhunter –cronjob – chỉ báo cáo-cảnh báo

) | / bin / mail -s ‘rkhunter Báo cáo quét hàng ngày $ HOSTNAME’ cuongbenky.blogspot@gmail.com

thoát 0

Tập lệnh shell Ở trên đã được cấu hình để gửi thư thông báo đến một ID thư cố định. Các tùy chọn tập lệnh Shell bao gồm:

kiểm tra phiên bản: sẽ kiểm tra phiên bản công cụ đã cập nhật.

cập nhật: sẽ cập nhật cơ sở dữ liệu mối nguy.

cronjob-report-warning-only: sẽ yêu cầu rkhunter thực thi mà không cần tương tác với lệnh gõ terminal

4. Định cấu hình Rootkit Hunter

Định cấu hình File rkhunter: /etc/rkhunter.conf

Định cấu hình giá trị Đăng nhập gốc SSHD

Tham số Allow_SSH_Root_User sẽ thông báo cho rkhunter nếu người dùng root có được phép ssh vào hệ thống hay không. Theo mặc định, Rkhunter sẽ luôn cảnh báo rằng người dùng root có thể xâm nhập vào hệ thống vì mục đích bảo mật.

Nếu bạn cần đăng nhập bằng tài khoản gốc qua SSH, bạn nên thay đổi thông số thành Đúng để khi Rkhunter quét nó sẽ bỏ qua thông báo sự cố trên.

# vi /etc/rkhunter.conf

ALLOW_SSH_ROOT_USER = có

Mình nghĩ bạn cần xem =>  Các cách kiểm tra cấu hình máy tính

Tuy nhiên, để bảo mật, mọi người nên tắt đăng nhập bằng tài khoản SSH gốc.

5. Cập nhật Rootkit Hunter

– Để kiểm tra phiên bản đã cài đặt, sử dụng lệnh sau.

# / usr / local / bin / rkhunter – kiểm tra chuyển đổi

– Cập nhật cơ sở dữ liệu Chữ ký.

# / usr / local / bin / rkhunter – cập nhật

– Với cơ sở dữ liệu của File được làm mới, chúng tôi chỉ định với rkhunter rằng các giá trị hiện tại của chúng vẫn còn.

# / usr / local / bin / rkhunter –propupd

6. Thực hiện quét rootkit

Để quét toàn bộ hệ thống, hãy sử dụng lệnh sau.

# / usr / local / bin / rkhunter -c

Với lệnh trên, khi hoàn thành các mục đã quét chúng ta phải nhấn đi vào để tiếp tục quét phần khác. Nếu bạn không muốn làm điều đó, hãy thêm tùy chọn sk.

# / usr / local / bin / rkhunter -c -sk

—————————- Kết quả quét ——————– ——–

Quét MD5

File được quét: 0

Tổng kiểm tra MD5 không chính xác: 0

File được quét File đã quét: 412

Các File có thể bị nhiễm: 0

Quét ứng dụng

Các ứng dụng dễ bị tổn thương: 0

Quá trình quét mất 39 giây

————————————————– ———————

Rkhunter chỉ có thể quét rootkit chứ không thể xóa chúng. Khi rkhunter quét tìm mối đe dọa, trước tiên, bạn cần kiểm tra kỹ xem có dương tính giả hay không. Cảnh báo có thể xuất hiện khi cập nhật phần mềm liên tục, điều chỉnh cấu hình hệ thống.

Hướng dẫn kết thúc tại đây. Chúc may mắn!

✤ Top 20 bài viết Thủ Thuật mới nhất :

Mình nghĩ bạn cần xem =>  Hướng dẫn chi tiết liệt kê Vhost – Virtual Host trên Apache

Xem thêm nhiều Thủ Thuật mới hay

Leave A Reply

Your email address will not be published.