Wyszukiwanie rootkitów RKhunterem

Rok temu opisywałem program clamav, otwarty i darmowy program antywirusowy na linuxa, który swoją popularność zyskał zwłaszcza wśród dostawców usług internetowych, którzy skanują pocztę clamav’em 🙂 Dzisiaj chciałbym zaznaczyć istnienie kolejnego popularnego programu jakim jest RKhunter, który służy do wykrywania zainstalowanych rootkitów w linuxowych dystrybucjach. Należy skończyć z myśleniem o linuxie jako niezdobytym bastionie dla wszelakiej maści wirusów, rootkitów.

To, że jest ich mniej nie oznacza, że ich nie ma. Linux nie zwalnia użytkownika od myślenia i aktualizowania swojego systemu 🙂  Warto od czasu do czasu zapobiegawczo przeskanować procesy i binaria.

 

RKhunter powinien być dostępny we wszystkich dystrybucjach i głównych repozytoriach i instaluje się go jak każdy inny program: sudo apt install rkhunter/sudo pacman -S rkunter/sudo zypper in rkhunter/sudo dnf install rkhunter/etc…

 

Po instalacji należy zaktualizować bazę rkhuntera

sudo rkhunter --update

 

Wprowadzamy do bazy ustawienia naszego systemu (baseline właściwości najważniejszych plików), który w przypadku zmiany zostaną zasygnalizowane przez rkhunter’a

sudo rkhunter --propupd

 

Zaczynamy skanowanie, po każdej sekcji wciskamy enter

sudo rkhunter -c --enable all --disable none

 

Pozostaje najważniejsza sprawa, czyli przeanalizowanie pliku /var/log/rkhunter.log i zbadanie komunikatów Warning oraz Found. W zależności od dystrybucji mogą istnieć pewnie rozbieżności w konfiguracji i rodzaju pakietów.

Natomiast jeśli faktycznie potwierdzimy istnienie rootkita na naszym systemie to zalecałbym zrobienie rachunku sumienia jak do tego dopuściliśmy (podejrzane repozytoria, nieznane skrypty/komendy puszczane z roota?), następnie instalacja systemu  od zera (nie wiadomo co jeszcze mogło przedostać się do systemu…). Dwa razy również zastanowiłbym się zanim przekopiowałbym coś ze starej konfiguracji.

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.