Come scansionare un server Debian alla ricerca di rootkit con Rkhunter
Rkhunter sta per "Rootkit Hunter" è uno scanner di vulnerabilità gratuito e open source per i sistemi operativi Linux. Esegue la scansione alla ricerca di rootkit e altre possibili vulnerabilità tra cui file nascosti, autorizzazioni errate impostate sui file binari, stringhe sospette nel kernel ecc. Confronta gli hash SHA-1 di tutti i file nel sistema locale con gli hash noti e validi in un database online. Controlla inoltre i comandi del sistema locale, i file di avvio e le interfacce di rete per servizi e applicazioni in ascolto.
In questo tutorial spiegheremo come installare e utilizzare Rkhunter sul server Debian 10.
Prerequisiti
- Un server che esegue Debian 10.
- Sul server è configurata una password di root.
Installa e configura Rkhunter
Per impostazione predefinita, il pacchetto Rkhunter è disponibile nel repository predefinito di Debian 10. Puoi installarlo semplicemente eseguendo il seguente comando:
apt-get install rkhunter -y
Una volta completata l'installazione, dovrai configurare Rkhunter prima di scansionare il tuo sistema. Puoi configurarlo modificando il file /etc/rkhunter.conf.
nano /etc/rkhunter.conf
Modificare le seguenti righe:
#Enable the mirror checks.
UPDATE_MIRRORS=1
#Tells rkhunter to use any mirror.
MIRRORS_MODE=0
#Specify a command which rkhunter will use when downloading files from the Internet
WEB_CMD=""
Salva e chiudi il file quando hai finito. Successivamente, verifica l'Rkhunter per eventuali errori di sintassi di configurazione con il seguente comando:
rkhunter -C
Aggiorna Rkhunter e imposta la linea di base di sicurezza
Successivamente, dovrai aggiornare il file di dati dal mirror Internet. Puoi aggiornarlo con il seguente comando:
rkhunter --update
Dovresti ottenere il seguente output:
[ Rootkit Hunter version 1.4.6 ]
Checking rkhunter data files...
Checking file mirrors.dat [ Updated ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ Skipped ]
Checking file i18n/de [ Skipped ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ Skipped ]
Checking file i18n/tr.utf8 [ Skipped ]
Checking file i18n/zh [ Skipped ]
Checking file i18n/zh.utf8 [ Skipped ]
Checking file i18n/ja [ Skipped ]
Successivamente, verifica le informazioni sulla versione di Rkhunter con il seguente comando:
rkhunter --versioncheck
Dovresti ottenere il seguente output:
[ Rootkit Hunter version 1.4.6 ]
Checking rkhunter version...
This version : 1.4.6
Latest version: 1.4.6
Successivamente, imposta la linea di base di sicurezza con il seguente comando:
rkhunter --propupd
Dovresti ottenere il seguente output:
[ Rootkit Hunter version 1.4.6 ]
File updated: searched for 180 files, found 140
Eseguire la prova di funzionamento
A questo punto Rkhunter è installato e configurato. Ora è il momento di eseguire la scansione di sicurezza del tuo sistema. Lo fai eseguendo il seguente comando:
rkhunter --check
Dovrai premere Invio per ogni controllo di sicurezza come mostrato di seguito:
System checks summary
=====================
File properties checks...
Files checked: 140
Suspect files: 3
Rootkit checks...
Rootkits checked : 497
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 2 minutes and 10 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
È possibile utilizzare l'opzione --sk per evitare di premere Invio e l'opzione --rwo per visualizzare solo gli avvisi come mostrato di seguito:
rkhunter --check --rwo --sk
Dovresti ottenere il seguente output:
Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: POSIX shell script, ASCII text executable
Warning: The SSH and rkhunter configuration options should be the same:
SSH configuration option 'PermitRootLogin': yes
Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
Puoi anche controllare i log di Rkhunter utilizzando il seguente comando:
tail -f /var/log/rkhunter.log
Pianifica la scansione regolare con Cron
Si consiglia di configurare Rkhunter per eseguire regolarmente la scansione del sistema. Puoi configurarlo modificando il file /etc/default/rkhunter:
nano /etc/default/rkhunter
Modificare le seguenti righe:
#Perform security check daily
CRON_DAILY_RUN="true"
#Enable weekly database updates.
CRON_DB_UPDATE="true"
#Enable automatic database updates
APT_AUTOGEN="true"
Salva e chiudi il file quando hai finito.
Conclusione
Congratulazioni! hai installato e configurato con successo Rkhunter sul server Debian 10. Ora puoi utilizzare Rkhunter regolarmente per proteggere il tuo server dal malware.