Cazador de rootkits en CentOS 5 y 6

¿Se pregunta cómo instalar Rootkit Hunter en CentOS 5 y 6? Te podemos ayudar.

En Bobcares, ofrecemos soluciones para cada consulta, grande o pequeña, como parte de nuestro Servicio de administración de servidores.

Echemos un vistazo a cómo nuestro equipo de soporte ayuda con esta consulta.

¿Cómo instalar Rootkit Hunter en CentOS 5 y 6?

Básicamente, rootkit Hunter es una herramienta basada en Unix que busca rootkits, puertas traseras y posibles vulnerabilidades locales.

Los rootkits son kits de herramientas que se ocultan automáticamente instalados en secreto por un intruso malicioso para permitir que ese usuario obtenga acceso al servidor.

Rootkit Hunter ofrece protección comparando hashes SHA-1 de archivos importantes con bien conocido en una base de datos en línea, así como:

• Comparación de hash MD5
• Busque los archivos predeterminados utilizados por los rootkits
• Permisos de archivo incorrectos para binarios
• Luego, busque cadenas sospechosas en los módulos LKM y KLD
• Busca archivos ocultos
• Escaneo opcional dentro de archivos de texto sin formato y binarios

1. Instale Rootkit Hunter en CentOS 5 y 6

Hoy, veamos los pasos de instalación seguidos por nuestros técnicos de soporte:

Descargar cazador de rootkits

Comience descargando la última versión estable de Rkhunter usando el wget dominio.

Él /usr/local/src La carpeta es donde debe colocar cualquier programa (fuente o binario) que haya descargado antes de instalarlo.

cd /usr/local/src
wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz
wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz.sha1.txt
sha1sum -c rkhunter-1.4.2.tar.gz.sha1.txt

Instalación Rootkit Hunter

Una vez que haya descargado la última versión de Rootkit Hunder, emita los siguientes comandos como root para iniciar la rutina de instalación.

tar -zxvf rkhunter-1.4.2.tar.gz
cd rkhunter-1.4.2
./installer.sh --layout default --install 
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --propupd
rm -Rf /usr/local/src/rkhunter*

2. Automatice Rootkit Hunter en CentOS 5 y 6

Rkhunter se puede configurar para ejecutar comprobaciones todos los días para que siempre tengamos información actualizada sobre intrusiones.

Esto se puede lograr mediante la creación de un cronjob.

Crear archivo cron

Cree el archivo de ejecución en la siguiente ubicación (solo distribuciones basadas en RHEL):

nano -w /etc/cron.daily/rkhunter.sh

Insertar script de shell

El siguiente script se puede configurar para enviar notificaciones por correo electrónico a una identificación de correo electrónico específica.

Él --versioncheck comprueba que nuestras definiciones de amenazas están actualizadas. Él --update La opción actualiza nuestras definiciones de amenazas, si es necesario.

Él --cronjob opción le dice a rkhunter que no requiera pulsaciones de teclas interactivas.

Debe insertar este breve script de shell en el archivo rkhunter.sh que acabamos de crear.

#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Daily Scan Report (PutYourServerNameHere)' [email protected]

Importante: Recuerde cambiar: (PutYourServerNameHere) Y [email protected] a un nombre de servidor / dirección de correo electrónico válidos

Establecer permisos de ejecución

Establezca el permiso de ejecución en el archivo que acaba de crear:

chmod 755 /etc/cron.daily/rkhunter.sh

La utilidad cron se ejecutará una vez al día y, si se detecta una amenaza, el propio comando rkhunter enviará un correo electrónico a nuestro usuario para alertarlo.

Si no se encontraron problemas, no se recibirá ningún correo electrónico.

3. Configuración del cazador de rootkits

El archivo de configuración para rkhunter se puede encontrar en:

/etc/rkhunter.conf

Inicio de sesión raíz SSHD

El parámetro ALLOW_SSH_ROOT_USER le dice a rkhunter si el usuario root puede ingresar al sistema mediante ssh o no.

Esto no está configurado de forma predeterminada en el rkhunter.conf expediente. Rkhunter se quejará de esto en cada ejecución.

Si ha deshabilitado el inicio de sesión raíz, debe establecer este parámetro en "no".

ALLOW_SSH_ROOT_USER=no

If you need root login over SSH, you should change this parameter to "yes" so that rkhunter can check this and will mark this setting as valid:

ALLOW_SSH_ROOT_USER=yes

Security practices recommend disabling root login.

4. Actualizar rkhunter

Para verificar la versión instalada actualmente, ingrese lo siguiente:

# /usr/local/bin/rkhunter --versioncheck

Ejecute el actualizador emitiendo el siguiente comando:

# /usr/local/bin/rkhunter --update

Con nuestros archivos de base de datos actualizados, debemos decirle a rkhunter que verifique los valores actuales y los almacene como valores conocidos:

# /usr/local/bin/rkhunter --propupd

5. Escaneo manual

Puede iniciar un escaneo manual emitiendo el siguiente comando:

/usr/local/bin/rkhunter -c

Que ejecuta rkhunter en modo interactivo. En otras palabras, cuando llega al final de un escaneo en particular, debe presionar 'enter' para continuar.

Si desea "omitir automáticamente" el modo interactivo, agregue la opción -sk al final:

/usr/local/bin/rkhunter -c -sk

Para escanear todo el sistema de archivos ingrese:

rkhunter --check

Los resultados de su escaneo deberían verse de la siguiente manera:

---------------------------- Scan results ----------------------------
 
MD5 scan
Scanned files: 0
Incorrect MD5 checksums: 0
 
File scan
Scanned files: 412
Possible infected files: 0
 
Application scan
Vulnerable applications: 0
 
Scanning took 39 seconds
 
-----------------------------------------------------------------------