Hướng dẫn cài đặt Rkhunter

Giới thiệu:

Một mối quan tâm tiềm ẩn là rootkit. Rootkit là phần mềm được cài đặt bí mật bởi một kẻ xâm nhập độc hại để cho phép người dùng đó tiếp tục truy cập vào máy chủ sau khi bảo mật bị vi phạm. Đây là một vấn đề cực kỳ nguy hiểm, vì ngay cả sau khi vector nhập mà người dùng ban đầu sử dụng để giành quyền truy cập đã được sửa, họ vẫn có thể tiếp tục vào máy chủ bằng rootkit mà họ đã cài đặt.

Một công cụ có thể giúp bạn bảo vệ hệ thống của mình khỏi những loại vấn đề này là rkhunter. Phần mềm này kiểm tra hệ thống của bạn dựa trên cơ sở dữ liệu gồm các rootkit đã biết. Ngoài ra, nó có thể kiểm tra các tệp hệ thống khác để đảm bảo chúng phù hợp với các thuộc tính và giá trị mong đợi.

 

Phần mềm Rootkit Hunter thường bảo vệ bằng cách so hàm băm SHA1 của file quan trọng với một mẫu hàm băm của file sạch sẽ trong 1 cơ sở dữ liệu, một số đặc điểm hoạt động như sau:

– So sánh hàm băm MD5.

– Tìm ra file mặc định sử dụng bởi rootkit.

– Những quyền hạn sai của chương trình nhị phân.

– Tìm ra những chuỗi bất thường trong bộ phận LKM và KLD.

– Tìm ra những file ẩn.

– Tùy chỉnh kiểu quét với tập tin plaintext và nhị phân.

– Thực hiện kiểm tra cụ thể trojan như kiểm tra dịch vụ xinetd.

– Thực hiện dò tìm malware bao gồm kiể m tra thông tin đăng nhập backdoors, tập tin log giả mạo và những thư mục đáng ngờ khác.

– Thực hiện kiểm tra hệ thống boot.

Hướng dẫn cài đặt rootkit Hunter

Tải về phiên bản mới nhất của Rkhunter bằng cách sử dụng dòng lệnh wget. Thư mục nằm trong đường dẫn /usr/local/src là nơi bạn nên đặt chương trình.

 

Tải về phiên bản mới nhất tại đường dẫn: https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz/

 

# cd /usr/local/src/

 

# wget https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz/

Khi bạn đã tải về phiên bản mới nhất của rkhunter thực thi những command sau để cài đặt chương trình.

 

# tar -zxvf rkhunter-1.4.6.tar.gz

 

# cd rkhunter-1.4.6

 

# ./installer.sh –layout default –install

 

# /usr/local/bin/rkhunter –update

 

# /usr/local/bin/rkhunter –propupd

 

# rm -Rf /usr/local/src/rkhunter*

Các câu lệnh chạy trên Rkhunter

Điều đầu tiên chúng ta nên làm là đảm bảo rằng phiên bản rkhunter của chúng ta được cập nhật.

# rkhunter –versioncheck

Để quét toàn bộ hệ thống, bạn hãy dùng lệnh sau.

 

# /usr/local/bin/rkhunter -c

 

Với lệnh trên thì khi kết thúc những danh mục được quét ta phải bấm enter để tiếp tục quét phần khác. Nếu không muốn vậy thì ta thêm option sk.

 

# rkhunter -c –enable all –disable none –sk

Chúng ta nên xem log và kiểm tra tất cả các cảnh báo đã được tạo:

vi /var/log/rkhunter.log

Thiết lập Cron-job quét rootkit

crontab –e

15 04 * * * /usr/bin/bin/rkhunter –update

15 04 * * * usr/local/bin/rkhunter –cronjob –report-warnings-only