Difference between revisions of "Rkhunter"
Jump to navigation
Jump to search
Onnowpurbo (talk | contribs) (Created page with "sumber: https://www.digitalocean.com/community/tutorials/how-to-use-rkhunter-to-guard-against-rootkits-on-an-ubuntu-vps Status: Deprecated This article covers a version...") |
Onnowpurbo (talk | contribs) |
||
| Line 1: | Line 1: | ||
sumber: https://www.digitalocean.com/community/tutorials/how-to-use-rkhunter-to-guard-against-rootkits-on-an-ubuntu-vps | sumber: https://www.digitalocean.com/community/tutorials/how-to-use-rkhunter-to-guard-against-rootkits-on-an-ubuntu-vps | ||
| + | ==Intro== | ||
| + | Salah satu perhatian potensial adalah rootkit. Rootkit adalah perangkat lunak yang diam-diam diinstal oleh penyusup jahat yang memungkinkan pengguna tersebut melanjutkan akses ke server setelah keamanan dilanggar. Ini adalah masalah yang sangat berbahaya, karena bahkan setelah masuknya vektor yang pengguna awalnya gunakan untuk mendapatkan akses adalah tetap, mereka dapat terus masuk ke server menggunakan rootkit yang mereka pasang. | ||
| + | Salah satu alat yang bisa membantu anda melindungi sistem anda dari masalah seperti ini adalah rkhunter. Perangkat lunak ini memeriksa sistem anda terhadap database rootkit yang diketahui. Selain itu, ia dapat memeriksa file sistem lain untuk memastikannya sesuai dengan properti dan nilai yang diharapkan. | ||
| + | ==Compile RKHunter== | ||
| − | + | Instal aplikasi pendukung | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| + | sudo apt-get update | ||
| + | sudo apt-get install binutils libreadline5 libruby1.8 ruby ruby1.8 ssl-cert unhide.rb mailutils | ||
| − | + | Cek versi terakhir rkhunter di www.sf.net, saat rkhunter di coba versinya adalah 1.4.2 | |
| + | cd /usr/loca/src | ||
| + | wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz | ||
tar xzvf rkhunter* | tar xzvf rkhunter* | ||
cd rkhunter* | cd rkhunter* | ||
| Line 50: | Line 27: | ||
| − | + | Untuk testing set "Local Only". | |
| − | + | Untuk operasional perlu set FQDN. | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | + | ==Cek Konfigurasi== | |
| − | + | Cek | |
sudo rkhunter --versioncheck | sudo rkhunter --versioncheck | ||
| Line 80: | Line 43: | ||
| − | + | Update data file | |
sudo rkhunter --update | sudo rkhunter --update | ||
| + | Set properties update / baseline | ||
| − | + | sudo rkhunter --propupd | |
| − | + | File created: searched for 167 files, found 136 | |
| − | |||
| + | ==Run== | ||
| − | + | Jalankan | |
sudo rkhunter -c --enable all --disable none | sudo rkhunter -c --enable all --disable none | ||
| + | Dia akan menjalan test per section. | ||
| − | + | Log bisa di baca di | |
| − | |||
| − | |||
sudo nano /var/log/rkhunter.log | sudo nano /var/log/rkhunter.log | ||
| + | Cari kata "Warning". | ||
| − | + | Alternative lain, perintahkan rkhunter untuk print warning ke layar | |
| − | |||
| − | |||
| − | |||
| − | |||
sudo rkhunter -c --enable all --disable none --rwo | sudo rkhunter -c --enable all --disable none --rwo | ||
| − | + | ==Edit Konfigurasi RKHunter supaya baik== | |
| − | + | Edit | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
sudo nano /etc/rkhunter.conf | sudo nano /etc/rkhunter.conf | ||
| − | + | Notifikasi email | |
| − | |||
| − | |||
MAIL-ON-WARNING="your_user@domain.com" | MAIL-ON-WARNING="your_user@domain.com" | ||
| − | + | atau | |
| − | |||
MAIL-ON-WARNING="root@localhost" | MAIL-ON-WARNING="root@localhost" | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}" | MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}" | ||
| − | Whitelist | + | Whitelist File yang baik, contoh |
| − | |||
| − | |||
| − | |||
| − | |||
SCRIPTWHITELIST="/usr/sbin/adduser" | SCRIPTWHITELIST="/usr/sbin/adduser" | ||
| Line 155: | Line 97: | ||
SCRIPTWHITELIST="/bin/which" | SCRIPTWHITELIST="/bin/which" | ||
| − | + | Whitelist File di /dev, contoh, | |
| − | |||
| − | |||
| − | Whitelist | ||
| − | |||
| − | |||
| − | |||
| − | |||
ALLOWDEVFILE="/dev/.udev/rules.d/root.rules" | ALLOWDEVFILE="/dev/.udev/rules.d/root.rules" | ||
| − | |||
| − | |||
| − | |||
| − | |||
ALLOWHIDDENDIR="/dev/.udev" | ALLOWHIDDENDIR="/dev/.udev" | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
ALLOWHIDDENFILE="/dev/.blkid.tab" | ALLOWHIDDENFILE="/dev/.blkid.tab" | ||
ALLOWHIDDENFILE="/dev/.blkid.tab.old" | ALLOWHIDDENFILE="/dev/.blkid.tab.old" | ||
| Line 181: | Line 106: | ||
| − | + | Ijinkan Root SSH Login, contoh | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
ALLOW_SSH_ROOT_USER=yes | ALLOW_SSH_ROOT_USER=yes | ||
| − | + | ==Cek Konfigurasi== | |
| − | + | Cek | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
sudo rkhunter -C | sudo rkhunter -C | ||
| − | + | Test lagi apakah ada warning | |
| − | |||
| − | |||
| − | |||
sudo rkhunter -c --enable all --disable none --rwo | sudo rkhunter -c --enable all --disable none --rwo | ||
| − | + | Harusnya ada minimsal 1 warning, karena konfigurasi rkhunter sudah di ubah, | |
| − | |||
Warning: The file properties have changed: | Warning: The file properties have changed: | ||
| Line 222: | Line 132: | ||
Stored file modification time : 1388442019 (30-Dec-2013 17:20:19) | Stored file modification time : 1388442019 (30-Dec-2013 17:20:19) | ||
| − | + | Update profile rkhunter | |
| − | |||
sudo rkhunter --propupd | sudo rkhunter --propupd | ||
| + | Cek email untuk notifikasi dari rkhunter | ||
| − | + | ==Cron== | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
sudo crontab -e | sudo crontab -e | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
15 04 * * * /usr/bin/rkhunter --cronjob --update --quiet | 15 04 * * * /usr/bin/rkhunter --cronjob --update --quiet | ||
| − | + | Kalau tidak ada masalah, maka tidak ada email yang akan dikirim | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
Revision as of 05:52, 14 June 2017
Intro
Salah satu perhatian potensial adalah rootkit. Rootkit adalah perangkat lunak yang diam-diam diinstal oleh penyusup jahat yang memungkinkan pengguna tersebut melanjutkan akses ke server setelah keamanan dilanggar. Ini adalah masalah yang sangat berbahaya, karena bahkan setelah masuknya vektor yang pengguna awalnya gunakan untuk mendapatkan akses adalah tetap, mereka dapat terus masuk ke server menggunakan rootkit yang mereka pasang.
Salah satu alat yang bisa membantu anda melindungi sistem anda dari masalah seperti ini adalah rkhunter. Perangkat lunak ini memeriksa sistem anda terhadap database rootkit yang diketahui. Selain itu, ia dapat memeriksa file sistem lain untuk memastikannya sesuai dengan properti dan nilai yang diharapkan.
Compile RKHunter
Instal aplikasi pendukung
sudo apt-get update sudo apt-get install binutils libreadline5 libruby1.8 ruby ruby1.8 ssl-cert unhide.rb mailutils
Cek versi terakhir rkhunter di www.sf.net, saat rkhunter di coba versinya adalah 1.4.2
cd /usr/loca/src wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz tar xzvf rkhunter* cd rkhunter*
Inside, we should see a "files" directory, and an installer script. We will use this to install our program. Specify the layout to install it in the /usr directory so that it will be in our default path:
sudo ./installer.sh --layout /usr --install
Untuk testing set "Local Only".
Untuk operasional perlu set FQDN.
Cek Konfigurasi
Cek
sudo rkhunter --versioncheck
[ Rootkit Hunter version 1.4.0 ] Checking rkhunter version... This version : 1.4.0 Latest version: 1.4.0
Update data file
sudo rkhunter --update
Set properties update / baseline
sudo rkhunter --propupd
File created: searched for 167 files, found 136
Run
Jalankan
sudo rkhunter -c --enable all --disable none
Dia akan menjalan test per section.
Log bisa di baca di
sudo nano /var/log/rkhunter.log
Cari kata "Warning".
Alternative lain, perintahkan rkhunter untuk print warning ke layar
sudo rkhunter -c --enable all --disable none --rwo
Edit Konfigurasi RKHunter supaya baik
Edit
sudo nano /etc/rkhunter.conf
Notifikasi email
MAIL-ON-WARNING="your_user@domain.com"
atau
MAIL-ON-WARNING="root@localhost"
MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
Whitelist File yang baik, contoh
SCRIPTWHITELIST="/usr/sbin/adduser" SCRIPTWHITELIST="/usr/bin/ldd" SCRIPTWHITELIST="/usr/bin/unhide.rb" SCRIPTWHITELIST="/bin/which"
Whitelist File di /dev, contoh,
ALLOWDEVFILE="/dev/.udev/rules.d/root.rules" ALLOWHIDDENDIR="/dev/.udev" ALLOWHIDDENFILE="/dev/.blkid.tab" ALLOWHIDDENFILE="/dev/.blkid.tab.old" ALLOWHIDDENFILE="/dev/.initramfs"
Ijinkan Root SSH Login, contoh
ALLOW_SSH_ROOT_USER=yes
Cek Konfigurasi
Cek
sudo rkhunter -C
Test lagi apakah ada warning
sudo rkhunter -c --enable all --disable none --rwo
Harusnya ada minimsal 1 warning, karena konfigurasi rkhunter sudah di ubah,
Warning: The file properties have changed:
File: /etc/rkhunter.conf
Current hash: fa8ad80a18100e669be507e69d0cbb88348fc07d
Stored hash : f9015108a2f6d8044126351cf16235c55993ff7a
Current inode: 2098189 Stored inode: 2100424
Current size: 37607 Stored size: 37359
Current file modification time: 1388443781 (30-Dec-2013 17:49:41)
Stored file modification time : 1388442019 (30-Dec-2013 17:20:19)
Update profile rkhunter
sudo rkhunter --propupd
Cek email untuk notifikasi dari rkhunter
Cron
sudo crontab -e 15 04 * * * /usr/bin/rkhunter --cronjob --update --quiet
Kalau tidak ada masalah, maka tidak ada email yang akan dikirim