Cách quét máy chủ Debian để tìm rootkit bằng Rkhunter

Tác giả Network Engineer, T.M.Một 02, 2021, 07:08:18 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cách quét máy chủ Debian để tìm rootkit bằng Rkhunter


Rkhunter là viết tắt của "Rootkit Hunter" là một chương trình quét lỗ hổng mã nguồn mở và miễn phí dành cho hệ điều hành Linux.

Nó quét tìm rootkit và các lỗ hổng có thể có khác bao gồm, các tập tin ẩn, các quyền sai được đặt trên các tập tin nhị phân, các chuỗi đáng ngờ trong nhân, v.v.

Nó so sánh các hàm băm SHA-1 của tất cả các tập tin trong hệ thống cục bộ của bạn với các hàm băm tốt đã biết trong cơ sở dữ liệu trực tuyến.

Nó cũng kiểm tra các lệnh hệ thống cục bộ, tập tin khởi động và giao diện mạng cho các dịch vụ và ứng dụng lắng nghe.
Trong hướng dẫn này, mình sẽ giải thích cách cài đặt và sử dụng Rkhunter trên máy chủ Debian 10.

  • Máy chủ chạy Debian 10.
  • Mật khẩu root được cấu hình trên máy chủ.

1. Cài đặt và cấu hình Rkhunter

Theo mặc định, gói Rkhunter có sẵn trong kho lưu trữ mặc định Debian 10. Bạn có thể cài đặt nó bằng cách chạy lệnh sau:

Mã nguồn [Chọn]
$ apt-get install rkhunter -y
Sau khi cài đặt hoàn tất, bạn sẽ cần phải cấu hình Rkhunter trước khi quét hệ thống của mình. Bạn có thể cấu hình nó bằng cách chỉnh sửa tập tin /etc/rkhunter.conf.

Mã nguồn [Chọn]
$ nano /etc/rkhunter.conf
Mã nguồn [Chọn]
Thay đổi các dòng sau:
#Enable the mirror checks.
UPDATE_MIRRORS=1

#Tells rkhunter to use any mirror.
MIRRORS_MODE=0

#Specify a command which rkhunter will use when downloading files from the Internet
WEB_CMD=""


Lưu và đóng tập tin khi bạn hoàn tất. Tiếp theo, xác minh Rkhunter để tìm bất kỳ lỗi cú pháp cấu hình nào bằng lệnh sau:

Mã nguồn [Chọn]
$ rkhunter -C
2. Cập nhật Rkhunter và đặt Đường cơ sở Bảo mật

Tiếp theo, bạn sẽ cần cập nhật tập tin dữ liệu từ máy nhân bản trên internet. Bạn có thể cập nhật nó bằng lệnh sau:

Mã nguồn [Chọn]
$ rkhunter --update
Bạn sẽ nhận được kết quả sau:

Mã nguồn [Chọn]
[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ Updated ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ Skipped ]
  Checking file i18n/de                                      [ Skipped ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ Skipped ]
  Checking file i18n/tr.utf8                                 [ Skipped ]
  Checking file i18n/zh                                      [ Skipped ]
  Checking file i18n/zh.utf8                                 [ Skipped ]
  Checking file i18n/ja                                      [ Skipped ]


Tiếp theo, xác minh thông tin phiên bản Rkhunter bằng lệnh sau:

Mã nguồn [Chọn]
$ rkhunter --versioncheck
Bạn sẽ nhận được kết quả sau:

Mã nguồn [Chọn]
[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter version...
  This version  : 1.4.6
  Latest version: 1.4.6

Tiếp theo, đặt đường cơ sở bảo mật bằng lệnh sau:

Mã nguồn [Chọn]
$ rkhunter --propupd
Bạn sẽ nhận được kết quả sau:

Mã nguồn [Chọn]
[ Rootkit Hunter version 1.4.6 ]
File updated: searched for 180 files, found 140

3. Thực hiện chạy thử nghiệm

Tại thời điểm này, Rkhunter đã được cài đặt và cấu hình. Bây giờ, đã đến lúc thực hiện quét bảo mật chống lại hệ thống của bạn. Bạn làm điều đó bằng cách chạy lệnh sau:

Mã nguồn [Chọn]
$ rkhunter --check
Bạn sẽ cần nhấn Enter cho mỗi lần kiểm tra bảo mật như hình dưới đây:

Mã nguồn [Chọn]
System checks summary
=====================

File properties checks...
    Files checked: 140
    Suspect files: 3

Rootkit checks...
    Rootkits checked : 497
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 2 minutes and 10 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)


Bạn có thể sử dụng tùy chọn –sk để tránh nhấn Enter và tùy chọn –rwo để chỉ hiển thị cảnh báo như hình dưới đây:

Mã nguồn [Chọn]
$ rkhunter --check --rwo --sk
Bạn sẽ nhận được kết quả sau:

Mã nguồn [Chọn]
Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: POSIX shell script, ASCII text executable
Warning: The SSH and rkhunter configuration options should be the same:
         SSH configuration option 'PermitRootLogin': yes
         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no


Bạn cũng có thể kiểm tra nhật ký Rkhunter bằng lệnh sau:

Mã nguồn [Chọn]
$ tail -f /var/log/rkhunter.log
4. Lên lịch quét thường xuyên với Cron

Bạn nên cấu hình Rkhunter để quét hệ thống của bạn thường xuyên. Bạn có thể cấu hình nó bằng cách chỉnh sửa tập tin /etc/default/rkhunter:

Mã nguồn [Chọn]
$ nano /etc/default/rkhunter
Thay đổi các dòng sau:

Mã nguồn [Chọn]
#Perform security check daily
CRON_DAILY_RUN="true"

#Enable weekly database updates.
CRON_DB_UPDATE="true"

#Enable automatic database updates
APT_AUTOGEN="true"

Lưu và đóng tập tin khi bạn hoàn tất.

Xin chúc mừng. Bạn đã cài đặt và cấu hình thành công Rkhunter trên máy chủ Debian 10. Giờ đây, bạn có thể sử dụng Rkhunter thường xuyên để bảo vệ máy chủ của mình khỏi phần mềm độc hại.