Jeżeli nasz system został zainfekowany lub chcemy mieć pewność, że szybko wykryjemy infekcję to jednym z narzędzi, które w tym pomoże, jest rkhunter (Rootkit Hunter). Oprogramowanie to pozwala na skanowanie systemu w poszukiwaniu złośliwego oprogramowania takiego jak: rootkity, blackdoory i exploity.
Instalacja
Instalujemy bezpośrednio z repozytoriów:
apt install -y curl rkhunter
Po instalacji zaczynamy od konfiguracji pobierania aktualizacji w pliku:
nano /etc/rkhunter.conf
Szukamy:
WEB_CMD="/bin/false"
Zmieniamy na
WEB_CMD=
Szukamy:
MIRRORS_MODE=1
I zmieniamy na:
MIRRORS_MODE=0
Na koniec zapisujemy plik wychodząc (Control+X) i Y.
Skanowanie systemu
Teraz możemy zaktualizować bazę podatności rkhuntera:
rkhunter --update
rkhunter --propupd
A następnie uruchamiamy skanowanie systemu:
rkhunter -c --enable all --disable none
Podczas skanowania będziemy musieli kilka razy wcisnąć enter po zakończeniu danego typu sprawdzania.
Logi skanowania możemy sprawdzić w konsoli bezpośrednio po skanowaniu lub w pliku:
nano /var/log/rkhunter.log
Przykładowy rezultat:
System checks summary
=====================
File properties checks...
Files checked: 141
Suspect files: 0
Rootkit checks...
Rootkits checked : 498
Possible rootkits: 1
Applications checks...
Applications checked: 3
Suspect applications: 0
The system checks took: 2 minutes and 10 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Konfiguracja
Konfigurację rkhuntera znajdziemy w pliku:
/etc/rkhunter.conf
Jedną z podstawowych rzeczy do ustawienia będzie pozwolenie na logowanie roota przez ssh. Zmieniamy w tym celu następującą konfigurację:
ALLOW_SSH_ROOT_USER=yes
Jeżeli pojawia się dużo warningów odnośnie „Hidden directory found”, możemy dopisać je do wyjątków:
ALLOWHIDDENDIR=/etc/.java
Kolejną ważną zmienną jest, na jaki email wysłać informacje po skanie:
MAIL-ON-WARNING=username@domain
Oraz komenda wysyłki maila:
MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
Na koniec warto sprawdzić poprawność konfiguracji komendą:
rkhunter -C
Cykliczne skanowanie
Aby skonfigrować cykliczne skanowanie systemu otwieramy edycję crona:
crontab -e
I dopisujemy do crona następujący wpis:
30 5 * * * /usr/bin/rkhunter --cronjob --update --quiet
