Baza wiedzy - Instalacja oprogramowania rkhunter (Rootkit Hunter) na systemie Debian/Ubuntu

Instalacja oprogramowania rkhunter (Rootkit Hunter) na systemie Debian/Ubuntu

Jeżeli nasz system został zainfekowany lub chcemy mieć pewność, że szybko wykryjemy infekcję to jednym z narzędzi, które w tym pomoże, jest rkhunter (Rootkit Hunter). Oprogramowanie to pozwala na skanowanie systemu w poszukiwaniu złośliwego oprogramowania takiego jak: rootkity, blackdoory i exploity.

Instalacja

Instalujemy bezpośrednio z repozytoriów:
apt install -y curl rkhunter
Po instalacji zaczynamy od konfiguracji pobierania aktualizacji w pliku:
nano /etc/rkhunter.conf
Szukamy:
WEB_CMD="/bin/false"
Zmieniamy na
WEB_CMD=
Szukamy:
MIRRORS_MODE=1
I zmieniamy na:
MIRRORS_MODE=0
Na koniec zapisujemy plik wychodząc (Control+X) i Y.

Skanowanie systemu

Teraz możemy zaktualizować bazę podatności rkhuntera:
rkhunter --update
rkhunter --propupd
A następnie uruchamiamy skanowanie systemu:
rkhunter -c --enable all --disable none
Podczas skanowania będziemy musieli kilka razy wcisnąć enter po zakończeniu danego typu sprawdzania. Logi skanowania możemy sprawdzić w konsoli bezpośrednio po skanowaniu lub w pliku:
nano /var/log/rkhunter.log
Przykładowy rezultat:
System checks summary
=====================

File properties checks...
    Files checked: 141
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 498
    Possible rootkits: 1

Applications checks...
    Applications checked: 3
    Suspect applications: 0

The system checks took: 2 minutes and 10 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Konfiguracja

Konfigurację rkhuntera znajdziemy w pliku:
/etc/rkhunter.conf
Jedną z podstawowych rzeczy do ustawienia będzie pozwolenie na logowanie roota przez ssh. Zmieniamy w tym celu następującą konfigurację:
ALLOW_SSH_ROOT_USER=yes
Jeżeli pojawia się dużo warningów odnośnie „Hidden directory found”, możemy dopisać je do wyjątków:
ALLOWHIDDENDIR=/etc/.java
Kolejną ważną zmienną jest, na jaki email wysłać informacje po skanie:
MAIL-ON-WARNING=username@domain
Oraz komenda wysyłki maila:
MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
Na koniec warto sprawdzić poprawność konfiguracji komendą:
rkhunter -C

Cykliczne skanowanie

Aby skonfigrować cykliczne skanowanie systemu otwieramy edycję crona:
crontab -e
I dopisujemy do crona następujący wpis:
30 5 * * * /usr/bin/rkhunter --cronjob --update --quiet