Hướng dẫn cài đặt Rkhunter quét rootkit trên CentOS
Rootkit Hunter (rkhunter) là 1 công cụ cơ bản để quét rootkit, backdoor và những lỗ hổng trong hệ thống. Rootkit là 1 phần mềm nguy hiểm được tạo ra để lấy được quyền root truy cập hệ thống và có thể ẩn mình khỏi phần mềm chống virus. Cách phổ biến để rootkit được cài đặt trên máy của bạn là thông qua trojan, lỗ hổng zero day, những email đính kèm những tệp lạ, lướt web hoặc đơn giản là bị bẻ khóa password.
Rootkit là bộ công cụ có khả năng tự cài đặt ẩn cho phép kẻ đó có khả năng truy cập vào hệ thống.
Phần mềm Rootkit Hunter thường bảo vệ bằng cách so hàm băm SHA1 của file quan trọng với một mẫu hàm băm của file sạch sẽ trong 1 cơ sở dữ liệu, một số đặc điểm hoạt động như sau:
- So sánh hàm băm MD5.
- Tìm ra file mặc định sử dụng bởi rootkit.
- Những quyền hạn sai của chương trình nhị phân.
- Tìm ra những chuỗi bất thường trong bộ phận LKM và KLD.
- Tìm ra những file ẩn.
- Tùy chỉnh kiểu quét với tập tin plaintext và nhị phân.
- Thực hiện kiểm tra cụ thể trojan như kiểm tra dịch vụ xinetd.
- Thực hiện dò tìm malware bao gồm kiể m tra thông tin đăng nhập backdoors, tập tin log giả mạo và những thư mục đáng ngờ khác.
- Thực hiện kiểm tra hệ thống boot.
1. Tải về rootkit Hunter
Tải về phiên bản mới nhất của Rkhunter bằng cách sử dụng dòng lệnh wget. Thư mục nằm trong đường dẫn /usr/local/src là nơi bạn nên đặt chương trình.
Tải về phiên bản mới nhất tại đường dẫn: https://rootkit.nl/software/rootkit-hunter/
# cd /usr/local/src/
# wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz
2. Cài đặt rootkit Hunter
Khi bạn đã tải về phiên bản mới nhất của rkhunter thực thi những command sau để cài đặt chương trình.
# tar -zxvf rkhunter-1.4.2.tar.gz
# cd rkhunter-1.4.2
# ./installer.sh --layout default --install
# /usr/local/bin/rkhunter --update
# /usr/local/bin/rkhunter --propupd
# rm -Rf /usr/local/src/rkhunter*
3. Tự động hóa tác vụ kiểm tra hệ thống bằng Rootkit Hunter
Tạo file script thực thi chạy cronjobs hằng ngày.
# nano -w /etc/cron.daily/rkhunter.sh
và:
#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Daily Scan Report $HOSTNAME' cuongbenky.blogspot@gmail.com
exit 0
Shell script trên đã được cấu hình để gửi mail thông báo đến 1 ID mail cố định. Các option trong shell script bao gồm:
versioncheck: sẽ kiểm tra phiên bản tool được cập nhật.
update: sẽ cập nhật cơ sở dữ liệu các mối nguy hiểm.
cronjob-report-warning-only: sẽ thông báo cho rkhunter thực thi mà không cần tương tác lên terminal gõ lệnh
4. Cấu hình Rootkit Hunter
Cấu hình file rkhunter: /etc/rkhunter.conf
Cấu hình giá trị SSHD Root Login
Thông số Allow_SSH_Root_User sẽ thông báo cho rkhunter biết là user root có được phép để ssh vào hệ thống hay không. Mặc định Rkhunter sẽ luôn cảnh báo việc user root có thể ssh vào hệ thống nhằm mục tiêu bảo mật.
Nếu bạn cần đăng nhập bằng tài khoản root qua SSH, bạn nên thay đổi thông số thành yes để khi Rkhunter quét sẽ bỏ qua thông báo về vấn đề trên.
# vi /etc/rkhunter.conf
ALLOW_SSH_ROOT_USER=yes
Tuy nhiên để bảo mật thì khuyên cáo mọi người nên disable việc đăng nhập bằng tài khoản root SSH.
5. Cập nhật Rootkit Hunter
– Để kiểm tra phiên bản được cài, bạn sử dụng lệnh sau.
# /usr/local/bin/rkhunter --versioncheck
– Cập nhật CSDL Signature.
# /usr/local/bin/rkhunter --update
– Với việc CSDL của tập tin được làm mới, chúng ta chỉ định với rkhunter kiểm tra những giá trị hiện hành của chúng vẫn sử dụng được.
# /usr/local/bin/rkhunter --propupd
6. Tiến hành quét rootkit
Để quét toàn bộ hệ thống, bạn hãy dùng lệnh sau.
# /usr/local/bin/rkhunter -c
Với lệnh trên thì khi kết thúc những danh mục được quét ta phải bấm enter để tiếp tục quét phần khác. Nếu không muốn vậy thì ta thêm option sk.
# /usr/local/bin/rkhunter -c -sk
---------------------------- Scan results ----------------------------
MD5 scan
Scanned files: 0
Incorrect MD5 checksums: 0
File scan Scanned files: 412
Possible infected files: 0
Application scan
Vulnerable applications: 0
Scanning took 39 seconds
-----------------------------------------------------------------------
Rkhunter chỉ có thể quét rootkit, chứ không xóa chúng đi. Khi rkhunter scan được mối đe dọa thì đầu tiên, bạn cần kiểm tra lại có hoặc không những trường hợp xác nhận nhầm. Cảnh báo có thể xuất hiện khi cập nhật phần mềm liên tục, tinh chỉnh cấu hình hệ thống.
Bài hướng dẫn kết thúc tại đây. Chúc các bạn thành công!