Difference between revisions of "Rkhunter"

From OnnoWiki
Jump to navigation Jump to search
 
(12 intermediate revisions by the same user not shown)
Line 3: Line 3:
 
==Intro==
 
==Intro==
  
Salah satu perhatian potensial adalah rootkit. Rootkit adalah perangkat lunak yang diam-diam diinstal oleh penyusup jahat yang memungkinkan pengguna tersebut melanjutkan akses ke server setelah keamanan dilanggar. Ini adalah masalah yang sangat berbahaya, karena bahkan setelah masuknya vektor yang pengguna awalnya gunakan untuk mendapatkan akses adalah tetap, mereka dapat terus masuk ke server menggunakan rootkit yang mereka pasang.
+
Salah satu perhatian potensial adalah rootkit. Rootkit adalah perangkat lunak yang diam-diam diinstal oleh penyusup jahat yang memungkinkan pengguna tersebut melanjutkan akses ke server setelah keamanan dilanggar. Ini adalah masalah yang sangat berbahaya, karena bahkan setelah masuknya vektor yang pengguna awalnya gunakan untuk mendapatkan akses tetap, mereka dapat terus masuk ke server menggunakan rootkit yang mereka pasang.
  
 
Salah satu alat yang bisa membantu anda melindungi sistem anda dari masalah seperti ini adalah rkhunter. Perangkat lunak ini memeriksa sistem anda terhadap database rootkit yang diketahui. Selain itu, ia dapat memeriksa file sistem lain untuk memastikannya sesuai dengan properti dan nilai yang diharapkan.
 
Salah satu alat yang bisa membantu anda melindungi sistem anda dari masalah seperti ini adalah rkhunter. Perangkat lunak ini memeriksa sistem anda terhadap database rootkit yang diketahui. Selain itu, ia dapat memeriksa file sistem lain untuk memastikannya sesuai dengan properti dan nilai yang diharapkan.
Line 11: Line 11:
 
Instal aplikasi pendukung
 
Instal aplikasi pendukung
  
 +
sudo locale-gen id_ID.UTF-8
 
  sudo apt-get update
 
  sudo apt-get update
  sudo apt-get install binutils libreadline5 libruby1.8 ruby ruby1.8 ssl-cert unhide.rb mailutils
+
  sudo apt-get -y install binutils libreadline5 libruby ruby ssl-cert unhide.rb mailutils
  
Cek versi terakhir rkhunter di www.sf.net, saat rkhunter di coba versinya adalah 1.4.2
+
Masukan
 +
* Site localhost
 +
* Relay Site kalau pakai INDIHOME : smtp.telkom.net
  
  cd /usr/loca/src
+
Cek versi terakhir rkhunter di www.sf.net, saat rkhunter di coba versinya adalah 1.4.6
  wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
+
 
 +
  cd /usr/local/src
 +
  wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
 
  tar xzvf rkhunter*
 
  tar xzvf rkhunter*
 
  cd rkhunter*
 
  cd rkhunter*
  
 
+
Instal di /usr
Inside, we should see a "files" directory, and an installer script. We will use this to install our program. Specify the layout to install it in the /usr directory so that it will be in our default path:
 
  
 
  sudo ./installer.sh --layout /usr --install
 
  sudo ./installer.sh --layout /usr --install
 
 
Untuk testing set "Local Only".
 
Untuk operasional perlu set FQDN.
 
  
 
==Cek Konfigurasi==
 
==Cek Konfigurasi==
Line 36: Line 36:
 
  sudo rkhunter --versioncheck
 
  sudo rkhunter --versioncheck
  
  [ Rootkit Hunter version 1.4.0 ]
+
Output
 +
 
 +
  [ Rootkit Hunter version 1.4.2 ]
 
   
 
   
 
  Checking rkhunter version...
 
  Checking rkhunter version...
   This version  : 1.4.0
+
   This version  : 1.4.2
   Latest version: 1.4.0
+
   Latest version: 1.4.2
 
  
 
Update data file
 
Update data file
Line 51: Line 52:
 
  sudo rkhunter --propupd
 
  sudo rkhunter --propupd
  
File created: searched for 167 files, found 136
+
Output
  
 +
File created: searched for 177 files, found 145
  
 
==Run==
 
==Run==
Line 66: Line 68:
 
  sudo nano /var/log/rkhunter.log
 
  sudo nano /var/log/rkhunter.log
  
Cari kata "Warning".
+
atau
 +
 
 +
cat /var/log/rkhunter.log | grep Warning
  
 
Alternative lain, perintahkan rkhunter untuk print warning ke layar
 
Alternative lain, perintahkan rkhunter untuk print warning ke layar
Line 72: Line 76:
 
  sudo rkhunter -c --enable all --disable none --rwo
 
  sudo rkhunter -c --enable all --disable none --rwo
  
 
+
==Tuning Konfigurasi RKHunter supaya lebih baik==
==Edit Konfigurasi RKHunter supaya baik==
 
  
 
Edit
 
Edit
  
  sudo nano /etc/rkhunter.conf
+
  sudo vi /etc/rkhunter.conf
  
  
Line 83: Line 86:
  
 
  MAIL-ON-WARNING="your_user@domain.com"
 
  MAIL-ON-WARNING="your_user@domain.com"
 +
MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
  
 
atau
 
atau
Line 94: Line 98:
 
  SCRIPTWHITELIST="/usr/sbin/adduser"
 
  SCRIPTWHITELIST="/usr/sbin/adduser"
 
  SCRIPTWHITELIST="/usr/bin/ldd"
 
  SCRIPTWHITELIST="/usr/bin/ldd"
 +
SCRIPTWHITELIST="/bin/egrep"
 +
SCRIPTWHITELIST="/bin/fgrep"
 +
SCRIPTWHITELIST="/bin/which"
 
  SCRIPTWHITELIST="/usr/bin/unhide.rb"
 
  SCRIPTWHITELIST="/usr/bin/unhide.rb"
SCRIPTWHITELIST="/bin/which"
 
  
 
Whitelist File di /dev, contoh,
 
Whitelist File di /dev, contoh,
Line 108: Line 114:
 
Ijinkan Root SSH Login, contoh
 
Ijinkan Root SSH Login, contoh
  
  ALLOW_SSH_ROOT_USER=yes
+
  ALLOW_SSH_ROOT_USER=without-password
 
 
  
 
==Cek Konfigurasi==
 
==Cek Konfigurasi==

Latest revision as of 15:23, 17 January 2024

sumber: https://www.digitalocean.com/community/tutorials/how-to-use-rkhunter-to-guard-against-rootkits-on-an-ubuntu-vps

Intro

Salah satu perhatian potensial adalah rootkit. Rootkit adalah perangkat lunak yang diam-diam diinstal oleh penyusup jahat yang memungkinkan pengguna tersebut melanjutkan akses ke server setelah keamanan dilanggar. Ini adalah masalah yang sangat berbahaya, karena bahkan setelah masuknya vektor yang pengguna awalnya gunakan untuk mendapatkan akses tetap, mereka dapat terus masuk ke server menggunakan rootkit yang mereka pasang.

Salah satu alat yang bisa membantu anda melindungi sistem anda dari masalah seperti ini adalah rkhunter. Perangkat lunak ini memeriksa sistem anda terhadap database rootkit yang diketahui. Selain itu, ia dapat memeriksa file sistem lain untuk memastikannya sesuai dengan properti dan nilai yang diharapkan.

Compile RKHunter

Instal aplikasi pendukung

sudo locale-gen id_ID.UTF-8
sudo apt-get update
sudo apt-get -y install binutils libreadline5 libruby ruby ssl-cert unhide.rb mailutils

Masukan

  • Site localhost
  • Relay Site kalau pakai INDIHOME : smtp.telkom.net

Cek versi terakhir rkhunter di www.sf.net, saat rkhunter di coba versinya adalah 1.4.6

cd /usr/local/src
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar xzvf rkhunter*
cd rkhunter*

Instal di /usr

sudo ./installer.sh --layout /usr --install

Cek Konfigurasi

Cek

sudo rkhunter --versioncheck

Output

[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter version...
  This version  : 1.4.2
  Latest version: 1.4.2

Update data file

sudo rkhunter --update

Set properties update / baseline

sudo rkhunter --propupd

Output

File created: searched for 177 files, found 145

Run

Jalankan

sudo rkhunter -c --enable all --disable none

Dia akan menjalan test per section.

Log bisa di baca di

sudo nano /var/log/rkhunter.log

atau

cat /var/log/rkhunter.log | grep Warning

Alternative lain, perintahkan rkhunter untuk print warning ke layar

sudo rkhunter -c --enable all --disable none --rwo

Tuning Konfigurasi RKHunter supaya lebih baik

Edit

sudo vi /etc/rkhunter.conf


Notifikasi email

MAIL-ON-WARNING="your_user@domain.com"
MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"

atau

MAIL-ON-WARNING="root@localhost"
MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"


Whitelist File yang baik, contoh

SCRIPTWHITELIST="/usr/sbin/adduser"
SCRIPTWHITELIST="/usr/bin/ldd"
SCRIPTWHITELIST="/bin/egrep"
SCRIPTWHITELIST="/bin/fgrep"
SCRIPTWHITELIST="/bin/which"
SCRIPTWHITELIST="/usr/bin/unhide.rb"

Whitelist File di /dev, contoh,

ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"
ALLOWHIDDENDIR="/dev/.udev"
ALLOWHIDDENFILE="/dev/.blkid.tab"
ALLOWHIDDENFILE="/dev/.blkid.tab.old"
ALLOWHIDDENFILE="/dev/.initramfs"


Ijinkan Root SSH Login, contoh

ALLOW_SSH_ROOT_USER=without-password

Cek Konfigurasi

Cek

sudo rkhunter -C

Test lagi apakah ada warning

sudo rkhunter -c --enable all --disable none --rwo

Harusnya ada minimsal 1 warning, karena konfigurasi rkhunter sudah di ubah,

Warning: The file properties have changed:
         File: /etc/rkhunter.conf
         Current hash: fa8ad80a18100e669be507e69d0cbb88348fc07d
         Stored hash : f9015108a2f6d8044126351cf16235c55993ff7a
         Current inode: 2098189    Stored inode: 2100424
         Current size: 37607    Stored size: 37359
         Current file modification time: 1388443781 (30-Dec-2013 17:49:41)
         Stored file modification time : 1388442019 (30-Dec-2013 17:20:19)

Update profile rkhunter

sudo rkhunter --propupd

Cek email untuk notifikasi dari rkhunter

Cron

sudo crontab -e
15 04 * * * /usr/bin/rkhunter --cronjob --update --quiet

Kalau tidak ada masalah, maka tidak ada email yang akan dikirim



Referensi