Rkhunter

From OnnoWiki
Jump to navigation Jump to search

sumber: https://www.digitalocean.com/community/tutorials/how-to-use-rkhunter-to-guard-against-rootkits-on-an-ubuntu-vps

Intro

Salah satu perhatian potensial adalah rootkit. Rootkit adalah perangkat lunak yang diam-diam diinstal oleh penyusup jahat yang memungkinkan pengguna tersebut melanjutkan akses ke server setelah keamanan dilanggar. Ini adalah masalah yang sangat berbahaya, karena bahkan setelah masuknya vektor yang pengguna awalnya gunakan untuk mendapatkan akses tetap, mereka dapat terus masuk ke server menggunakan rootkit yang mereka pasang.

Salah satu alat yang bisa membantu anda melindungi sistem anda dari masalah seperti ini adalah rkhunter. Perangkat lunak ini memeriksa sistem anda terhadap database rootkit yang diketahui. Selain itu, ia dapat memeriksa file sistem lain untuk memastikannya sesuai dengan properti dan nilai yang diharapkan.

Compile RKHunter

Instal aplikasi pendukung

sudo locale-gen id_ID.UTF-8
sudo apt-get update
sudo apt-get -y install binutils libreadline5 libruby ruby ssl-cert unhide.rb mailutils

Masukan

  • Site localhost
  • Relay Site kalau pakai INDIHOME : smtp.telkom.net

Cek versi terakhir rkhunter di www.sf.net, saat rkhunter di coba versinya adalah 1.4.6

cd /usr/local/src
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar xzvf rkhunter*
cd rkhunter*

Instal di /usr

sudo ./installer.sh --layout /usr --install

Cek Konfigurasi

Cek

sudo rkhunter --versioncheck

Output

[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter version...
  This version  : 1.4.2
  Latest version: 1.4.2

Update data file

sudo rkhunter --update

Set properties update / baseline

sudo rkhunter --propupd

Output

File created: searched for 177 files, found 145

Run

Jalankan

sudo rkhunter -c --enable all --disable none

Dia akan menjalan test per section.

Log bisa di baca di

sudo nano /var/log/rkhunter.log

atau

cat /var/log/rkhunter.log | grep Warning

Alternative lain, perintahkan rkhunter untuk print warning ke layar

sudo rkhunter -c --enable all --disable none --rwo

Tuning Konfigurasi RKHunter supaya lebih baik

Edit

sudo vi /etc/rkhunter.conf


Notifikasi email

MAIL-ON-WARNING="your_user@domain.com"
MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"

atau

MAIL-ON-WARNING="root@localhost"
MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"


Whitelist File yang baik, contoh

SCRIPTWHITELIST="/usr/sbin/adduser"
SCRIPTWHITELIST="/usr/bin/ldd"
SCRIPTWHITELIST="/bin/egrep"
SCRIPTWHITELIST="/bin/fgrep"
SCRIPTWHITELIST="/bin/which"
SCRIPTWHITELIST="/usr/bin/unhide.rb"

Whitelist File di /dev, contoh,

ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"
ALLOWHIDDENDIR="/dev/.udev"
ALLOWHIDDENFILE="/dev/.blkid.tab"
ALLOWHIDDENFILE="/dev/.blkid.tab.old"
ALLOWHIDDENFILE="/dev/.initramfs"


Ijinkan Root SSH Login, contoh

ALLOW_SSH_ROOT_USER=without-password

Cek Konfigurasi

Cek

sudo rkhunter -C

Test lagi apakah ada warning

sudo rkhunter -c --enable all --disable none --rwo

Harusnya ada minimsal 1 warning, karena konfigurasi rkhunter sudah di ubah,

Warning: The file properties have changed:
         File: /etc/rkhunter.conf
         Current hash: fa8ad80a18100e669be507e69d0cbb88348fc07d
         Stored hash : f9015108a2f6d8044126351cf16235c55993ff7a
         Current inode: 2098189    Stored inode: 2100424
         Current size: 37607    Stored size: 37359
         Current file modification time: 1388443781 (30-Dec-2013 17:49:41)
         Stored file modification time : 1388442019 (30-Dec-2013 17:20:19)

Update profile rkhunter

sudo rkhunter --propupd

Cek email untuk notifikasi dari rkhunter

Cron

sudo crontab -e
15 04 * * * /usr/bin/rkhunter --cronjob --update --quiet

Kalau tidak ada masalah, maka tidak ada email yang akan dikirim



Referensi