RootKit Hunter adalah skrip shell berbasis Unix yang dapat memindai sistem lokal untuk rootkit, backdoor, dan kemungkinan eksploitasi lokal. Ini dilakukan dengan membandingkan hash SHA-1 dari file lokal dengan hash bagus yang diketahui dalam database online.
Itu juga dapat memantau perintah sistem lokal, file startup, interface jaringan untuk setiap perubahan serta mendengarkan aplikasi.
Menginstal RKHunter
Paket rkhunter tersedia di repositori standar Ubuntu sehingga kita dapat menginstalnya dengan menjalankan perintah di bawah ini;
# apt install rkhunter -y
Konfigurasi dan Gunakan RKHunter
Setelah instalasi selesai, Anda perlu mengkonfigurasi RKHunter sebelum Anda dapat menggunakannya untuk memindai sistem Anda. Oleh karena itu buka file konfigurasi, /etc/rkhunter.conf, dan lakukan perubahan seperti gambar di bawah ini.
# vim /etc/rkhunter.conf
Tetapkan nilai UPDATE_MIRRORSke 1. Ini memastikan bahwa file cermin juga diperiksa untuk pembaruan saat memeriksa file tanggal yang diperbarui rkhunter dengan –updateopsi.
UPDATE_MIRRORS=1
Tetapkan nilai MIRRORS_MODEke 0. Opsi MIRRORS_MODE memberi tahu rkhunter mirror mana yang akan digunakan ketika opsi –update atau –versioncheckcommand line diberikan. Ada tiga kemungkinan nilai untuk ini;
- 0 – gunakan cermin apa saja
- 1 – hanya gunakan mirror lokal
- 2 – hanya gunakan cermin jarak jauh
MIRRORS_MODE=0
Tetapkan nilai WEB_CMDke nol,“”. Opsi ini dapat diatur ke perintah yang akan digunakan rkhunter saat mengdownload file dari Internet – yaitu, saat opsi –versioncheck atau –update digunakan. Dalam hal ini kami tidak menentukan perintah apa pun.
WEB_CMD=””
Aktifkan pemindaian dan pembaruan reguler dengan cron
Skrip RKHunter diinstal di bawah direktori cron.daily untuk pemindaian dan pembaruan reguler. skrip karena itu dieksekusi setiap hari oleh Cron.
Edit /etc/default/rkhunter.confdan buat perubahan berikut.
Aktifkan pemeriksaan pemindaian rkhunter untuk dijalankan setiap hari dengan menyetel nilai CRON_DAILY_RUNke “true”.
CRON_DAILY_RUN=”true”
Mengatur nilai CRON_DB_UPDATEuntuktrue untuk mengaktifkan pembaruan basis data mingguan rkhunter.
CRON_DB_UPDATE=”true”
Tetapkan nilai ke APT_AUTOGENke trueuntuk mengaktifkan pembaruan basis data otomatis. Ini memastikan bahwa rkhunter –propupddijalankan secara otomatis setelah pembaruan perangkat lunak untuk mengurangi error positif.
APT_AUTOGEN=”true”
Setelah selesai, simpan file konfigurasi dan keluar.
Jalankan perintah di bawah ini untuk memeriksa opsi konfigurasi yang tidak dikenal. Jika ada masalah konfigurasi yang ditemukan, maka masalah tersebut akan ditampilkan dan kode pengembalian akan disetel ke 1.
# rkhunter -C
Anda juga dapat menggunakan –config-checkopsi alih-alih-C.
Perbarui file data teks rkhunter
Setelah mengkonfigurasi rkhunter, jalankan perintah di bawah ini untuk memperbarui file data teks rkhunter. Perhatikan bahwa ini adalah file yang digunakan rkhunter untuk menentukan aktivitas mencurigakan pada sistem dan karenanya harus selalu diperbarui.
# rkhunter --update [ Rootkit Hunter version 1.4.6 ] Checking rkhunter data files... Checking file mirrors.dat [ No update ] Checking file programs_bad.dat [ No update ] Checking file backdoorports.dat [ No update ] Checking file suspscan.dat [ No update ] Checking file i18n/cn [ Skipped ] Checking file i18n/de [ Skipped ] Checking file i18n/en [ No update ] Checking file i18n/tr [ Skipped ] Checking file i18n/tr.utf8 [ Skipped ] Checking file i18n/zh [ Skipped ] Checking file i18n/zh.utf8 [ Skipped ] Checking file i18n/ja [ Skipped ]
i18n/*file hanya untuk tujuan lokalisasi, sehingga mereka tidak penting untuk fungsi program inti. Jadi output di atas, i18n/en, menunjukkan bahwa string bahasa Inggris sudah ada di sistem.
Perhatikan bahwa menjalankan rkhunter mungkin bukan ide yang baik –updatekarena memiliki risiko keamanan. Oleh karena itu, biarkan manajer paket Anda menjaganya agar tetap diperbarui.
Anda juga dapat versi rkhunter dengan menjalankan perintah di bawah ini;
# rkhunter --versioncheck [ Rootkit Hunter version 1.4.6 ] Checking rkhunter version... This version : 1.4.6 Latest version: 1.4.6
Tetapkan Garis Dasar Keamanan untuk sistem Anda
RKHhunter membandingkan berbagai properti file saat ini dari berbagai perintah dalam sistem dengan yang telah disimpan sebelumnya. Untuk memperbarui file data rkhunter dari nilai yang disimpan dengan nilai saat ini, jalankan rkhunter dengan –propupd opsi.
# rkhunter --propupd [ Rootkit Hunter version 1.4.6 ] File updated: searched for 180 files, found 147
Lakukan Pemeriksaan Sistem
Sekarang setelah kita selesai mengonfigurasi rkhunter, jalankan perintah di bawah ini untuk melakukan pemindaian uji terhadap sistem Anda.
# rkhunter --check
Ini adalah contoh output dari perintah di atas.
...output snipped... Checking the network... Performing checks on the network ports Checking for backdoor ports [ None found ] Performing checks on the network interfaces Checking for promiscuous interfaces [ None found ] Checking the local host... Performing system boot checks Checking for local host name [ Found ] Checking for system startup files [ Found ] Checking system startup files for malware [ None found ] Performing group and account checks Checking for passwd file [ Found ] Checking for root equivalent (UID 0) accounts [ None found ] Checking for passwordless accounts [ None found ] Checking for passwd file changes [ None found ] Checking for group file changes [ None found ] Checking root account shell history files [ OK ] Performing system configuration file checks Checking for an SSH configuration file [ Found ] Checking if SSH root access is allowed [ Warning ] Checking if SSH protocol v1 is allowed [ Not set ] Checking for other suspicious configuration settings [ None found ] Checking for a running system logging daemon [ Found ] Checking for a system logging configuration file [ Found ] Checking if syslog remote logging is allowed [ Not allowed ] Performing filesystem checks Checking /dev for suspicious file types [ None found ] Checking for hidden files and directories [ Warning ] [Press <ENTER> to continue] System checks summary ===================== File properties checks... Files checked: 147 Suspect files: 0 Rootkit checks... Rootkits checked : 503 Possible rootkits: 0 Applications checks... All checks skipped system checks took: 1 minute and 43 seconds All results have been written to the log file: /var/log/rkhunter.log One or more warnings have been found while checking the system. Please check the log file (/var/log/rkhunter.log)
Seperti yang Anda lihat di atas, ada beberapa peringatan misalnya SSH root access is allowed. Anda dapat memperbaiki apa pun masalah yang ditemukan di sistem Anda oleh rkhunter.
Untuk menghindari keharusan menekan ENTER untuk setiap cek, Anda dapat melewati –sk or –skip-keypress opsi tersebut.
# rkhunter --check --sk
Untuk menampilkan pesan peringatan saja, gunakan –rwo or –report-warnings-only opsi.
# rkhunter --check --rwo
File log RKHunter adalah:
/var/log/rkhunter.log
Anda juga memperhatikan bahwa file dan direktori tersembunyi diberi peringatan. Untuk menghindari peringatan ini, Anda dapat mengkonfigurasi ulang rkhunter untuk mengabaikan file-file ini melalui daftar putih. Misalnya dalam pengujian saya, saya menemukan peringatan ini;
Warning: Hidden directory found: /etc/.java
Untuk menghapus file ini, buka file konfigurasi rkhunter dan batalkan komentar pada baris #ALLOWHIDDENDIR=/etc/.java sedemikian rupa
sehingga terlihat seperti;
ALLOWHIDDENDIR=/etc/.java
Jika Anda memiliki file lain, Anda dapat menghapus komentar di file konfigurasi rkhunter seperti yang ditunjukkan di atas.
notifikasi email
Anda mungkin juga ingin mengirimkan hasilnya melalui Email jika ada ancaman yang ditemukan di sistem Anda. Untuk melakukan ini, Anda perlu mengedit file konfigurasi rkhunter dan menetapkan nilaiMAIL-ON-WARNING ke alamat email Anda.
# vim /etc/rkhunter.conf
[email protected]
Mengganti [email protected] dengan alamat email Anda
Anda juga mengatur perintah email untuk digunakan.
MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
Setelah selesai, simpan file konfigurasi dan periksa apakah ada error konfigurasi seperti yang ditunjukkan di atas.
Anda sekarang dapat menerima email jika ada ancaman yang ditemukan di sistem Anda. Lihat contoh surat di bawah ini.
rkhunacter-email-notifikasi
Itu saja yang bisa kami bahas tentang RKHunter. Kami berharap artikel ini membantu. Selamat berburu ancaman.