Ricerca nel sito web

Come scansionare un server Debian alla ricerca di rootkit con Rkhunter


Rkhunter sta per "Rootkit Hunter" è uno scanner di vulnerabilità gratuito e open source per i sistemi operativi Linux. Esegue la scansione alla ricerca di rootkit e altre possibili vulnerabilità tra cui file nascosti, autorizzazioni errate impostate sui file binari, stringhe sospette nel kernel ecc. Confronta gli hash SHA-1 di tutti i file nel sistema locale con gli hash noti e validi in un database online. Controlla inoltre i comandi del sistema locale, i file di avvio e le interfacce di rete per servizi e applicazioni in ascolto.

In questo tutorial spiegheremo come installare e utilizzare Rkhunter sul server Debian 10.

Prerequisiti

  • Un server che esegue Debian 10.
  • Sul server è configurata una password di root.

Installa e configura Rkhunter

Per impostazione predefinita, il pacchetto Rkhunter è disponibile nel repository predefinito di Debian 10. Puoi installarlo semplicemente eseguendo il seguente comando:

apt-get install rkhunter -y

Una volta completata l'installazione, dovrai configurare Rkhunter prima di scansionare il tuo sistema. Puoi configurarlo modificando il file /etc/rkhunter.conf.

nano /etc/rkhunter.conf

Modificare le seguenti righe:

#Enable the mirror checks.
UPDATE_MIRRORS=1

#Tells rkhunter to use any mirror.
MIRRORS_MODE=0

#Specify a command which rkhunter will use when downloading files from the Internet
WEB_CMD=""

Salva e chiudi il file quando hai finito. Successivamente, verifica l'Rkhunter per eventuali errori di sintassi di configurazione con il seguente comando:

rkhunter -C

Aggiorna Rkhunter e imposta la linea di base di sicurezza

Successivamente, dovrai aggiornare il file di dati dal mirror Internet. Puoi aggiornarlo con il seguente comando:

rkhunter --update

Dovresti ottenere il seguente output:

[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ Updated ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ Skipped ]
  Checking file i18n/de                                      [ Skipped ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ Skipped ]
  Checking file i18n/tr.utf8                                 [ Skipped ]
  Checking file i18n/zh                                      [ Skipped ]
  Checking file i18n/zh.utf8                                 [ Skipped ]
  Checking file i18n/ja                                      [ Skipped ]

Successivamente, verifica le informazioni sulla versione di Rkhunter con il seguente comando:

rkhunter --versioncheck

Dovresti ottenere il seguente output:

[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter version...
  This version  : 1.4.6
  Latest version: 1.4.6

Successivamente, imposta la linea di base di sicurezza con il seguente comando:

rkhunter --propupd

Dovresti ottenere il seguente output:

[ Rootkit Hunter version 1.4.6 ]
File updated: searched for 180 files, found 140

Eseguire la prova di funzionamento

A questo punto Rkhunter è installato e configurato. Ora è il momento di eseguire la scansione di sicurezza del tuo sistema. Lo fai eseguendo il seguente comando:

rkhunter --check

Dovrai premere Invio per ogni controllo di sicurezza come mostrato di seguito:

System checks summary
=====================

File properties checks...
    Files checked: 140
    Suspect files: 3

Rootkit checks...
    Rootkits checked : 497
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 2 minutes and 10 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

È possibile utilizzare l'opzione --sk per evitare di premere Invio e l'opzione --rwo per visualizzare solo gli avvisi come mostrato di seguito:

rkhunter --check --rwo --sk

Dovresti ottenere il seguente output:

Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: POSIX shell script, ASCII text executable
Warning: The SSH and rkhunter configuration options should be the same:
         SSH configuration option 'PermitRootLogin': yes
         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no

Puoi anche controllare i log di Rkhunter utilizzando il seguente comando:

tail -f /var/log/rkhunter.log

Pianifica la scansione regolare con Cron

Si consiglia di configurare Rkhunter per eseguire regolarmente la scansione del sistema. Puoi configurarlo modificando il file /etc/default/rkhunter:

nano /etc/default/rkhunter

Modificare le seguenti righe:

#Perform security check daily
CRON_DAILY_RUN="true"

#Enable weekly database updates.
CRON_DB_UPDATE="true"

#Enable automatic database updates
APT_AUTOGEN="true"

Salva e chiudi il file quando hai finito.

Conclusione

Congratulazioni! hai installato e configurato con successo Rkhunter sul server Debian 10. Ora puoi utilizzare Rkhunter regolarmente per proteggere il tuo server dal malware.

Articoli correlati: