Cài đặt phần mềm quét Rootkit – Chkrootkit trên Ubuntu 18.04/Centos 7
Chkrootkit là một trình quét bảo mật phổ biến giúp các quản trị viên nhằm tìm kiếm các dấu hiệu khi hệ thống bị nhiễm rootkit.
Xin lưu ý rằng bạn có thể sử dụng chkrootkit để tìm các file và quy tắc được liên kết với rootkit, nhưng bạn không thể chắc chắn 100% rằng tất cả các rootkit được tìm thấy và loại bỏ đi. Bạn có thể bảo vệ hệ thống khỏi rootkit bằng application và software được cập nhập. Hãy tìm hiểu thêm thông tin cùng Bizfly Cloud dưới bài viết này.
Cài đặt chkrootkit trên Ubuntu 18.04
Việc cài đặt chkrootkit dễ dàng hơn nhiều trên Máy chủ Ubuntu 18.04 vì nó có sẵn trong các gói kho lưu trữ của Ubuntu. Chúng ta có thể cài đặt nó bằng cách chạy lệnh dưới đây:
# apt-get update
# apt install chkrootkit
# chkrootkit -V
chkrootkit version 0.52
Chúng ta cần đảm bảo rằng chúng ta có đặc quyền root để sử dụng chkrootkit ở đó.
Kích hoạt Server Scanning tự động
chkrootkit package trong Ubuntu repository đi kèm với cấu hình crontab. Crontab này được lên kế hoạch để chạy hàng ngày. Để bật kiểm tra hàng ngày, bạn có thể mở /etc/chkrootkit.conf và sửa đổi tệp này như sau:
Thay thế dòng đầu tiên:
RUN_DAILY="false"
with
RUN_DAILY="true"
Cài đặt chkrootkit trên CentOS 7.5
Công cụ này không có sẵn trong các CentOS repository packages. Do đó, chúng ta cần tải xuống phiên bản mới nhất hiện có và cấu hình nó.
1. Cài đặt C/C Compilers và libraries
Chkrootkit có C programs. Bạn cần phải cài đặt GCC (C và C Compiler) package và glibc-static package trước khi compile chkrootkit source package để tránh bất kỳ lỗi nào trong quá trình.
#yum update
#yum install wget gcc-c glibc-static
2. Tải về the chkrootkit mới nhất
Như đã đề cập, bạn có thể tải xuống chkrootkit download mới nhất từ trang web chkrootkit.
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
3. Tải xuống package md5 hash file
Tiếp theo, chúng ta có thể tải xuống md5 hash file liên quan đến chkrootkit download để xác minh xem nó có bị giả mạo hoặc bị hỏng hay không.
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5
# md5sum -c chkrootkit.md5
chkrootkit.tar.gz: OK
4. Giải nén file và cài đặt
Bây giờ bạn có thể di chuyển đến thư mục đã tải xuống và giải nén nó. Bạn có thể giải nén nó trên cùng một đường dẫn và di chuyển chkrootkit binary vào thư mục /usr/bin hoặc bạn có thể di chuyển các nội dung được trích ra vào một thư mục riêng biệt theo tên đó như được mô tả ở đây và cài đặt nó. Dù bằng cách nào thì các thành phần cũng sẽ hoạt động.
#tar –xzf chkrootkit.tar.gz
#mkdir /usr/local/chkrootkit
#mv chkrootkit-0.52/* /usr/local/chkrootkit
#cd /usr/local/chkrootkit
#make sense
Bây giờ, bạn có thể chạy chkrootkit để scan server.
5. Kích hoạt Automatic Server Scanning
Bạn có thể thêm một cron entry để chạy chkrootkit tự động và gửi báo cáo quét đến địa chỉ thư của bạn. Tạo và thêm các mục sau vào /etc/cron.daily/chkrootkit.sh.
#!/bin/sh
(
/usr/local/chkrootkit/chkrootkit
) | /bin/mail -s 'CHROOTKIT Daily Run (ServerName)' your@email.com
Bạn cũng có thể cài đặt các security scanners khác như rkhunter trên hệ thống để bảo mật tốt hơn.
Hiểu về chkrootkit
Chkrootkit là một công cụ để thực hiện kiểm tra rootkit. Chứa một shell script gọi là chkrootkit, quét tất cả các ystem binaries cho bất kì rootkit modifications nào. Ngoài ra, nó chứa một số C programs thực hiện nhiệm vụ kiểm tra bảo mật khác nhau như sau:
ifpromisc.c: Điều này sẽ kiểm tra xem network interface có ở chế độ promiscuous hay không.
chklastlog.c: Điều này sẽ kiểm tra việc xóa lastlog.
chkwtmp.c: Điều này kiểm tra xóa wtmp.
chkproc.c: Điều này kiểm tra các dấu hiệu của trojan LKM.
chkdirs.c: Điều này kiểm tra các dấu hiệu của trojan LKM.
strings.c: Điều này thực hiện thay thế chuỗi nhanh chóng.
chkutmp.c: Điều này sẽ kiểm tra xóa utmp.
Usage
Cách đơn giản nhất để chạy công cụ này là sử dụng lệnh chkrootkit như root. Điều này sẽ thực hiện tất cả các nhiệm vụ. Nhưng nếu bạn muốn chọn bất kỳ tùy chọn cụ thể nào trong khi chạy lệnh này, bạn có nhiều tùy chọn khác nhau, liệt kê bên dưới:
-h: Hiển thị một tin nhắn trợ giúp ngắn và thoát
-V: Hiển thị thông tin phiên bản và thoát
# chkrootkit -V
hkrootkit version 0.52
-l: Hiển thị available tests
# chkrootkit -l
/usr/sbin/chkrootkit: tests: aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp OSX_RSPLUG amd basename biff chfn chsh cron crontab date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write
-d: Vào chế độ debug
-x: Vào chế độ expert
-e: Loại trừ các tệp/ thư mục, quoted, space separated sai.
-q: Vào chế độ im lặng
Trong chế độ này, chỉ các output messages có trạng thái infected mới được hiển thị.
-r dir: Sử dụng dir như root directory
# chkrootkit -r /mnt/ ; This will check all files under this specified directory.
-p dir1:dir2:dirN: Bạn có thể có thể thêm nhiều binary paths hơn với dấu hai chấm sử dụng tùy chọn này.
Theo Bizfly Cloud chia sẻ
