[SecurityLinux] Hướng dẫn cài đặt Rkhunter quét rootkit trên CentOS

193

Hướng dẫn cài đặt Rkhunter quét rootkit trên CentOS

Rootkit Hunter (rkhunter) là 1 công cụ cơ bản để quét rootkit, backdoor và những lỗ hổng trong hệ thống. Rootkit là 1 phần mềm nguy hiểm được tạo ra để lấy được quyền root truy cập hệ thống và có thể ẩn mình khỏi phần mềm chống virus. Cách phổ biến để rootkit được cài đặt trên máy của bạn là thông qua trojan, lỗ hổng zero day, những email đính kèm những tệp lạ, lướt web hoặc đơn giản là bị bẻ khóa password.
Rootkit là bộ công cụ có khả năng tự cài đặt ẩn cho phép kẻ đó có khả năng truy cập vào hệ thống. Phần mềm Rootkit Hunter thường bảo vệ bằng cách so hàm băm SHA1 của file quan trọng với một mẫu hàm băm của file sạch sẽ trong 1 cơ sở dữ liệu, một số đặc điểm hoạt động như sau :
* So sánh hàm băm MD5.
* Tìm ra file mặc định sử dụng bởi rootkit.
* Những quyền hạn sai của chương trình nhị phân.
* Tìm ra những chuỗi bất thường trong bộ phận LKM và KLD.
* Tìm ra những file ẩn.
* Tùy chỉnh kiểu quét với tập tin plaintext và nhị phân.
* Thực hiện kiểm tra cụ thể trojan như kiểm tra dịch vụ xinetd.
* Thực hiện dò tìm malware bao gồm kiể m tra thông tin đăng nhập backdoors, tập tin log giả mạo và những thư mục đáng ngờ khác.
* Thực hiện kiểm tra hệ thống boot.

1. Tải về rootkit Hunter

Tải về phiên bản mới nhất của Rkhunter bằng cách sử dụng dòng lệnh wget. Thư mục nằm trong đường dẫn /usr/local/src là nơi bạn nên đặt chương trình.
Tải về phiên bản mới nhất tại đường dẫn : https://rootkit.nl/software/rootkit-hunter/

2. Cài đặt rootkit Hunter
Khi bạn đã tải về phiên bản mới nhất của rkhunter thực thi những command sau để cài đặt chương trình.

3. Tự động hóa tác vụ kiểm tra hệ thống bằng Rootkit Hunter

– Tạo file script thực thi chạy cronjobs hằng ngày.

Shell script trên đã được cấu hình để gửi mail thông báo đến 1 id mail cố định. Các option trong shell script gồm :
–versioncheck : sẽ kiểm tra phiên bản tool được cập nhật.
–update : sẽ cập nhật cơ sở dữ liệu các mối nguy hiểm.
–cronjob –report-warnings-only : sẽ thông báo cho rkhunter thực thi mà không cần tương tác lên terminal gõ lệnh

4. Cấu hình Rootkit Hunter

Cấu hình file rkhunter : /etc/rkhunter.conf
Cấu hình giá trị “SSHD Root Login
Thông số ALLOW_SSH_ROOT_USER sẽ thông báo cho rkhunter biết là user root có được phép để ssh vào hệ thống hay không. Mặc định Rkhunter sẽ luôn cảnh báo việc user root có thể ssh vào hệ thống nhằm mục tiêu bảo mật.
Nếu bạn cần đăng nhập bằng tài khoản root qua SSH, bạn nên thay đổi thông số thành “yes” để khi Rkhunter quét sẽ bỏ qua thông báo về vấn đề trên.

Tuy nhiên để bảo mật thì khuyên cáo mọi người nên disable việc đăng nhập bằng tài khoản root ssh.

5. Cập nhật Rootkit Hunter

– Để kiểm tra phiên bản được cài sử dụng lệnh sau:

– Cập nhật CSDL Signature:

– Với việc CSDL của tập tin được làm mới, chúng ta chỉ định với rkhunter kiểm tra những giá trị hiện hành của chúng vẫn xài được.

6. Tiến hành quét rootkit

Để quét toàn bộ hệ thống dùng lệnh sau:

Với lệnh trên thì khi kết thúc những danh mục được quét ta phải bấm “enter” để tiếp tục quét phần khác. Nếu không muốn vậy thì ta thêm option “–sk” .

Rkhunter chỉ có thể quét rootkit, chứ không xóa chúng đi. Khi rkhunter scan được mối đe dọa thì đ ầu tiên bạn cần kiểm tra lại có hoặc không những trường hợp xác nhận nhầm. Cảnh báo có thể xuất hiện khi cập nhật phần mềm liên tục, tinh chỉnh cấu hình hệ thống. Chúc các bạn thành công ! Cám ơn .
Đánh giá sao từ người đọc :
[ Tổng : 0 - Trung bình: 0 ]