Administrare server open source

Platforma de hosting cu software liber, gratuit, open source.

Comentariile sunt închise pentru Scapam de rootkit-uri cu RKHunter

Un rootkit e o aplicatie complexa creata pentru a ascunde urmele pe un sistem compromis iar, in cazul rootkit-urilor avansate, asigura o cale de acces (backdoor) pe sistemul compromis. Din fericire exista aplicatii de audit care folosesc metode avansate de detectare a breselor de securitate, aplicatii capabile sa detecteze semnatura diferitelor rootkit-uri. O astfel de aplicatie este rkhunter.

rkhunter e probabil cea mai eficienta aplicatie de detectare a rootkit-urilor si e un „must have” pentru orice administrator de sistem UNIX-Like. In momentul de fata ruleaza pe majoritatea distributiilor Linux, pe FreeBSD si OpenBSD, pe Solaris si AIX – plus alte sisteme de operare pe care nu a fost portat, dar pe care s-a reusit instalarea si rularea aplicatiei folosind binarele puse la dispozitie pe site-ul oficial.

Desi rootkit-urile nu pot fi eliminate in majoritatea cazurilor, rkhunter ofera un raport complet referitor la tipul rootkit-ului detectat pentru ca apoi administratorul serverului sa il poata sterge.

Majoritatea sistemelor de operare au rkhunter in cadrul propriului sistem de aplicatii portate. In cazul FreeBSD rkhunter poate fi gasit in porturi, in directorul /usr/ports/security/rkhunter. Pentru a-l instala trebuie sa intram in directorul mentionat si sa rulam comanda make install distclean:

[root@localhost ~/]# cd /usr/ports/security/rkhunter
[root@localhost rkhunter]# make install distclean

La instalare putem adauga suport pentru lsof si nmap, doua aplicatii de asemenea foarte utile unui administrator de sistem.

rkhunter install

rkhunter install

In mod normal instalarea ar trebui sa se finalizeze in cel mult 5 minute, dupa care utilitarul poate fi lansat in executie folosind comanda /usr/local/bin/rkhunter -c:

[root@localhost rkhunter]# /usr/local/bin/rkhunter -c
[ Rootkit Hunter version 1.3.4 ]
 
Checking system commands...
 
  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]
 
  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preload file                                [ Not found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]
 
  Performing file properties checks
    Checking for prerequisites                               [ Warning ]
 
...

Dupa instalare ar fi indicat sa setam un cron pentru rkhunter pentru a se updata zilnic si pentru a ne trimite zilnic pe mail un raport. Pentru asta va trebui sa cream un script cu numele rkup.sh care il vom pune in folderul /root. Scriptul va contine urmatoarele linii:

#!/bin/sh
 
/usr/local/bin/rkhunter --update --nocolors
/usr/local/bin/rkhunter --checkall --nocolors --skip-keypress | mail -s "Rezultat scanare RKHunter" sysadmin@exemplu.ro

Adresa [email protected] se inlocuieste cu adresa de mail care o folosit pentru rapoarte. Dupa ce am creat fisierul ii setam permisiuni 700 si adaugam in /etc/crontab o linie care sa ruleze scriptul /root/rkup.sh zilnic.

[root@localhost ~]# chmod 700 /root/rkup.sh
[root@localhost ~]# echo '0  *  *  *  * root /root/rkup.sh 2>&1' >> /etc/crontab

Acum totul e setat corect. rkhunter e instalat, se updateaza zilnic iar dupa fiecare updatare scaneaza sistemul si trimite un raport la o adresa de mail specificata. Acum puteti fi siguri ca sansele de a avea un rootkit nedetectat pe server au scazut cu cel putin 99%.

Linux

Comments are closed.