[LINUX] Bestätigung, dass rkhunter installiert werden kann

Über dieses Dokument

Wir haben bestätigt, was mit rkhunter gemacht wird, das als Gegenmaßnahme gegen Rootkit bekannt ist.

Eguzekutibusamari

--rkhunter kann auch nach anderen verdächtigen Dingen als dem Rootkit suchen.

Installation

Wenn Sie sich die [Projektseite] von rkhunter (http://rkhunter.sourceforge.net/) ansehen, sollten Sie die Installation Tutorial sehen. Da dies der Fall ist, verweisen Sie darauf.

Paketinstallation

Als ich darüber nachdachte, gab es ein Paket.

# apt-get install rkhunter

Leider sind die Standardeinstellungen (absichtlich?) Falsch und funktionieren nicht.

――Es scheint, dass Sie überprüfen können, ohne die Datenbank zu aktualisieren, aber das macht nicht viel Sinn.

# rkhunter --update
Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"
# 

Einstellung

Passen Sie / etc / rkhunter.conf an. Da der Zweck darin besteht, den Betrieb visuell zu überprüfen, wird die Anzeige auf Japanisch umgeschaltet.

--Spracheinstellungen

--Einstellungen für Befehle, die in --update verwendet werden

Die Standardkonfiguration funktioniert nicht richtig. Bitte beachten Sie, dass es nur wenige Artikel gibt, die dies erwähnen.

Bestätigung und Aktualisierung

Verwenden Sie nach der Änderung --config-check (Kurzform: -C), um zu überprüfen, und verwenden Sie dann --update, um die Datenbank zu aktualisieren.

[Rootkit Hunter Version 1.4.6 ]

Überprüfen Sie die rkhunter-Datendatei...
Dateispiegel.Überprüfen Sie dat[Kein Update]
Dateiprogramme_bad.Überprüfen Sie dat[Kein Update]
Datei Backdoorports.Überprüfen Sie dat[Kein Update]
Datei suspscan.Überprüfen Sie dat[Kein Update]
Datei i18n/Überprüfen Sie cn[Kein Update]
Datei i18n/Überprüfen Sie de[Kein Update]
Datei i18n/Überprüfen Sie en[Kein Update]
Datei i18n/Überprüfen Sie tr[Kein Update]
Datei i18n/tr.Überprüfen Sie utf8[Kein Update]
Datei i18n/Überprüfen Sie zh[Kein Update]
Datei i18n/zh.Überprüfen Sie utf8[Kein Update]
Datei i18n/Überprüfen Sie ja[Kein Update]
root@tooltest:~# 

Scannen und überprüfen Sie die Ergebnisse

Siehe erster Scan im Wiki zum Scannen.

Die Scanergebnisse sind lang, daher habe ich sie am Ende in den Anhang aufgenommen. Hier wird nur die Zusammenfassung behandelt.

-- - check kann mit -c gekürzt werden, kann aber mit -C von --config-check verwechselt werden. ---- Skip-Keypress kann mit -sk gekürzt werden.

# rkhunter --check --skip-keypress
(snip)
Übersicht über die Systemprüfung
=====================

Überprüfung der Dateieigenschaften...
Dateiprüfung: 143
Verdächtige Datei: 0

Rootkit-Check...
Rootkit überprüft: 477
Möglichkeit des Rootkits: 0

Anwendungsprüfung...
Alle Prüfungen wurden übersprungen.

Systemprüfwerkzeug: 1 minute and 38 seconds

Alle Ergebnisse wurden in die Protokolldatei geschrieben: /var/log/rkhunter.log

Während der Systemprüfung wurden keine Warnungen gefunden.

# vi /etc/rkhunter.conf 

Bestätigung des Inspektionsinhalts

Es wird ausführlich in / var / log / rkhunter.log beschrieben.

Zusammenfassung

Als aktueller Trend ist es wichtig, schnell erkennen zu können, dass es unmöglich / eingedrungen ist, alle Eingriffe zu verhindern. In Anbetracht des Anwendungsbereichs von rkhunter wird davon ausgegangen, dass ein sicherer Betrieb erreicht werden kann, wenn es in Kombination mit anderen Werkzeugen verwendet wird.

Appendix

Scan

Melden Sie sich an der Konsole an

Eine Warnung wurde ausgegeben, weil "lwp-request" nach "rkhunter --propupd" aktualisiert wurde. Wenn Sie bestätigen können, dass kein Problem vorliegt, führen Sie --propupd aus, und es wird als das aktuelle erkannt, und beim nächsten Mal wird keine Warnung ausgegeben.

# rkhunter -c -sk
[Rootkit Hunter Version 1.4.6 ]

Überprüfen Sie die Systembefehle...

Führen Sie eine Befehlsprüfung "Strings" durch
Überprüfen Sie den Befehl "Strings"[ OK ]

Führen Sie eine Überprüfung der "gemeinsam genutzten Bibliothek" durch
Überprüfen Sie die Vorspannungsvariablen[Keine Entdeckung]
Überprüfen Sie die Preload-Bibliothek[Keine Entdeckung]
    「LD_LIBRARY_Überprüfen Sie die Variable "PATH"[Unentdeckt]

Führen Sie eine Überprüfung der Dateieigenschaften durch
Überprüfen Sie die Voraussetzungen[ OK ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/cron                                           [ OK ]
    /usr/sbin/depmod                                         [ OK ]
    /usr/sbin/fsck                                           [ OK ]
    /usr/sbin/groupadd                                       [ OK ]
    /usr/sbin/groupdel                                       [ OK ]
    /usr/sbin/groupmod                                       [ OK ]
    /usr/sbin/grpck                                          [ OK ]
    /usr/sbin/ifconfig                                       [ OK ]
    /usr/sbin/init                                           [ OK ]
    /usr/sbin/insmod                                         [ OK ]
    /usr/sbin/ip                                             [ OK ]
    /usr/sbin/lsmod                                          [ OK ]
    /usr/sbin/modinfo                                        [ OK ]
    /usr/sbin/modprobe                                       [ OK ]
    /usr/sbin/nologin                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/rmmod                                          [ OK ]
    /usr/sbin/route                                          [ OK ]
    /usr/sbin/rsyslogd                                       [ OK ]
    /usr/sbin/runlevel                                       [ OK ]
    /usr/sbin/sulogin                                        [ OK ]
    /usr/sbin/sysctl                                         [ OK ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    /usr/sbin/usermod                                        [ OK ]
    /usr/sbin/vipw                                           [ OK ]
    /usr/sbin/unhide                                         [ OK ]
    /usr/sbin/unhide-linux                                   [ OK ]
    /usr/sbin/unhide-posix                                   [ OK ]
    /usr/sbin/unhide-tcp                                     [ OK ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/bash                                            [ OK ]
    /usr/bin/cat                                             [ OK ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/chmod                                           [ OK ]
    /usr/bin/chown                                           [ OK ]
    /usr/bin/cp                                              [ OK ]
    /usr/bin/curl                                            [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/date                                            [ OK ]
    /usr/bin/df                                              [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/dmesg                                           [ OK ]
    /usr/bin/dpkg                                            [ OK ]
    /usr/bin/dpkg-query                                      [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/echo                                            [ OK ]
    /usr/bin/ed                                              [ OK ]
    /usr/bin/egrep                                           [ OK ]
    /usr/bin/env                                             [ OK ]
    /usr/bin/fgrep                                           [ OK ]
    /usr/bin/file                                            [ OK ]
    /usr/bin/find                                            [ OK ]
    /usr/bin/fuser                                           [ OK ]
    /usr/bin/GET                                             [ OK ]
    /usr/bin/grep                                            [ OK ]
    /usr/bin/groups                                          [ OK ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/ip                                              [ OK ]
    /usr/bin/ipcs                                            [ OK ]
    /usr/bin/kill                                            [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ OK ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/logger                                          [ OK ]
    /usr/bin/login                                           [ OK ]
    /usr/bin/ls                                              [ OK ]
    /usr/bin/lsattr                                          [ OK ]
    /usr/bin/lsmod                                           [ OK ]
    /usr/bin/lsof                                            [ OK ]
    /usr/bin/mail                                            [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/mktemp                                          [ OK ]
    /usr/bin/more                                            [ OK ]
    /usr/bin/mount                                           [ OK ]
    /usr/bin/mv                                              [ OK ]
    /usr/bin/netstat                                         [ OK ]
    /usr/bin/newgrp                                          [ OK ]
    /usr/bin/passwd                                          [ OK ]
    /usr/bin/perl                                            [ OK ]
    /usr/bin/pgrep                                           [ OK ]
    /usr/bin/ping                                            [ OK ]
    /usr/bin/pkill                                           [ OK ]
    /usr/bin/ps                                              [ OK ]
    /usr/bin/pstree                                          [ OK ]
    /usr/bin/pwd                                             [ OK ]
    /usr/bin/readlink                                        [ OK ]
    /usr/bin/rkhunter                                        [ OK ]
    /usr/bin/runcon                                          [ OK ]
    /usr/bin/sed                                             [ OK ]
    /usr/bin/sh                                              [ OK ]
    /usr/bin/sha1sum                                         [ OK ]
    /usr/bin/sha224sum                                       [ OK ]
    /usr/bin/sha256sum                                       [ OK ]
    /usr/bin/sha384sum                                       [ OK ]
    /usr/bin/sha512sum                                       [ OK ]
    /usr/bin/size                                            [ OK ]
    /usr/bin/sort                                            [ OK ]
    /usr/bin/ssh                                             [ OK ]
    /usr/bin/stat                                            [ OK ]
    /usr/bin/strace                                          [ OK ]
    /usr/bin/strings                                         [ OK ]
    /usr/bin/su                                              [ OK ]
    /usr/bin/sudo                                            [ OK ]
    /usr/bin/tail                                            [ OK ]
    /usr/bin/telnet                                          [ OK ]
    /usr/bin/test                                            [ OK ]
    /usr/bin/top                                             [ OK ]
    /usr/bin/touch                                           [ OK ]
    /usr/bin/tr                                              [ OK ]
    /usr/bin/uname                                           [ OK ]
    /usr/bin/uniq                                            [ OK ]
    /usr/bin/users                                           [ OK ]
    /usr/bin/vmstat                                          [ OK ]
    /usr/bin/w                                               [ OK ]
    /usr/bin/watch                                           [ OK ]
    /usr/bin/wc                                              [ OK ]
    /usr/bin/wget                                            [ OK ]
    /usr/bin/whatis                                          [ OK ]
    /usr/bin/whereis                                         [ OK ]
    /usr/bin/which                                           [ OK ]
    /usr/bin/who                                             [ OK ]
    /usr/bin/whoami                                          [ OK ]
    /usr/bin/numfmt                                          [ OK ]
    /usr/bin/kmod                                            [ OK ]
    /usr/bin/systemd                                         [ OK ]
    /usr/bin/systemctl                                       [ OK ]
    /usr/bin/mawk                                            [ OK ]
    /usr/bin/lwp-request                                     [Warnung]
    /usr/bin/bsd-mailx                                       [ OK ]
    /usr/bin/dash                                            [ OK ]
    /usr/bin/x86_64-linux-gnu-size                           [ OK ]
    /usr/bin/x86_64-linux-gnu-strings                        [ OK ]
    /usr/bin/telnet.netkit                                   [ OK ]
    /usr/bin/w.procps                                        [ OK ]
    /usr/lib/systemd/systemd                                 [ OK ]

Überprüfen Sie die Rootkits...

Führen Sie eine Überprüfung auf bekannte Rootkit-Dateien und -Verzeichnisse durch
    55808 Trojan - Variant A                                 [Unentdeckt]
    ADM Worm                                                 [Unentdeckt]
    AjaKit Rootkit                                           [Unentdeckt]
    Adore Rootkit                                            [Unentdeckt]
    aPa Kit                                                  [Unentdeckt]
    Apache Worm                                              [Unentdeckt]
    Ambient (ark) Rootkit                                    [Unentdeckt]
    Balaur Rootkit                                           [Unentdeckt]
    BeastKit Rootkit                                         [Unentdeckt]
    beX2 Rootkit                                             [Unentdeckt]
    BOBKit Rootkit                                           [Unentdeckt]
    cb Rootkit                                               [Unentdeckt]
    CiNIK Worm (Slapper.B variant)                           [Unentdeckt]
    Danny-Boy's Abuse Kit                                    [Unentdeckt]
    Devil RootKit                                            [Unentdeckt]
    Diamorphine LKM                                          [Unentdeckt]
    Dica-Kit Rootkit                                         [Unentdeckt]
    Dreams Rootkit                                           [Unentdeckt]
    Duarawkz Rootkit                                         [Unentdeckt]
    Ebury backdoor                                           [Unentdeckt]
    Enye LKM                                                 [Unentdeckt]
    Flea Linux Rootkit                                       [Unentdeckt]
    Fu Rootkit                                               [Unentdeckt]
    Fuck`it Rootkit                                          [Unentdeckt]
    GasKit Rootkit                                           [Unentdeckt]
    Heroin LKM                                               [Unentdeckt]
    HjC Kit                                                  [Unentdeckt]
    ignoKit Rootkit                                          [Unentdeckt]
    IntoXonia-NG Rootkit                                     [Unentdeckt]
    Irix Rootkit                                             [Unentdeckt]
    Jynx Rootkit                                             [Unentdeckt]
    Jynx2 Rootkit                                            [Unentdeckt]
    KBeast Rootkit                                           [Unentdeckt]
    Kitko Rootkit                                            [Unentdeckt]
    Knark Rootkit                                            [Unentdeckt]
    ld-linuxv.so Rootkit                                     [Unentdeckt]
    Li0n Worm                                                [Unentdeckt]
    Lockit / LJK2 Rootkit                                    [Unentdeckt]
    Mokes backdoor                                           [Unentdeckt]
    Mood-NT Rootkit                                          [Unentdeckt]
    MRK Rootkit                                              [Unentdeckt]
    Ni0 Rootkit                                              [Unentdeckt]
    Ohhara Rootkit                                           [Unentdeckt]
    Optic Kit (Tux) Worm                                     [Unentdeckt]
    Oz Rootkit                                               [Unentdeckt]
    Phalanx Rootkit                                          [Unentdeckt]
    Phalanx2 Rootkit                                         [Unentdeckt]
    Phalanx2 Rootkit (extended tests)                        [Unentdeckt]
    Portacelo Rootkit                                        [Unentdeckt]
    R3dstorm Toolkit                                         [Unentdeckt]
    RH-Sharpe's Rootkit                                      [Unentdeckt]
    RSHA's Rootkit                                           [Unentdeckt]
    Scalper Worm                                             [Unentdeckt]
    Sebek LKM                                                [Unentdeckt]
    Shutdown Rootkit                                         [Unentdeckt]
    SHV4 Rootkit                                             [Unentdeckt]
    SHV5 Rootkit                                             [Unentdeckt]
    Sin Rootkit                                              [Unentdeckt]
    Slapper Worm                                             [Unentdeckt]
    Sneakin Rootkit                                          [Unentdeckt]
    'Spanish' Rootkit                                        [Unentdeckt]
    Suckit Rootkit                                           [Unentdeckt]
    Superkit Rootkit                                         [Unentdeckt]
    TBD (Telnet BackDoor)                                    [Unentdeckt]
    TeLeKiT Rootkit                                          [Unentdeckt]
    T0rn Rootkit                                             [Unentdeckt]
    trNkit Rootkit                                           [Unentdeckt]
    Trojanit Kit                                             [Unentdeckt]
    Tuxtendo Rootkit                                         [Unentdeckt]
    URK Rootkit                                              [Unentdeckt]
    Vampire Rootkit                                          [Unentdeckt]
    VcKit Rootkit                                            [Unentdeckt]
    Volc Rootkit                                             [Unentdeckt]
    Xzibit Rootkit                                           [Unentdeckt]
    zaRwT.KiT Rootkit                                        [Unentdeckt]
    ZK Rootkit                                               [Unentdeckt]

Führen Sie eine zusätzliche Rootkit-Prüfung durch
Suckit Rootkit zusätzliche Prüfung[ OK ]
Suchen Sie nach möglichen Rootkit-Dateien und -Verzeichnissen[Keine Entdeckung]
Suchen Sie nach möglichen Rootkit-Zeichenfolgen[Keine Entdeckung]

Führen Sie eine Malware-Prüfung durch
Überprüfen Sie die Prozessausführung verdächtiger Dateien[Keine Entdeckung]
Überprüfen Sie die Login-Hintertür[Keine Entdeckung]
Überprüfen Sie die Sniffer-Protokolldatei[Keine Entdeckung]
Suchen Sie nach verdächtigen Verzeichnissen[Keine Entdeckung]
Verdächtiges Shared-Memory-Segment[Keine Entdeckung]
Überprüfen Sie die Apache-Hintertür[Unentdeckt]

Führen Sie Linux-spezifische Prüfungen durch
Suchen Sie nach geladenen Kernelmodulen[ OK ]
Überprüfen Sie den Namen des Kernelmoduls[ OK ]

Netzwerkprüfung...

Führen Sie eine Netzwerkportprüfung durch
Überprüfen Sie den Hintertüranschluss[Keine Entdeckung]

Führen Sie eine Überprüfung der Netzwerkschnittstelle durch
Überprüfen Sie die Promise Cass-Oberfläche[Keine Entdeckung]

Überprüfen Sie den lokalen Host...

Führen Sie eine Systemstartprüfung durch
Überprüfen Sie den lokalen Hostnamen[Entdeckung]
Überprüfen Sie die Systemstartdateien[Entdeckung]
Suchen Sie nach Startdateien für Malware-Systeme[Keine Entdeckung]

Führen Sie Gruppen- und Kontoprüfungen durch
Überprüfen Sie die Passwortdatei[Entdeckung]
Wurzeläquivalent(UID 0)Überprüfen Sie Ihr Konto[Keine Entdeckung]
Überprüfen Sie, ob kein Passwort vorhanden ist[Keine Entdeckung]
Überprüfen Sie, ob sich die Kennwortdatei geändert hat[Keine Entdeckung]
Überprüfung der Änderung von Gruppendateien[Keine Entdeckung]
Überprüfen Sie die Shell-Verlaufsdatei für das Root-Konto[ OK ]

Führen Sie eine Überprüfung der Systemkonfigurationsdatei durch
Überprüfen Sie die SSH-Konfigurationsdatei[Unentdeckt]
Überprüfen Sie den laufenden Systemprotokollierungsdämon[Entdeckung]
Überprüfen Sie die Konfigurationsdatei für die Systemprotokollierung[Entdeckung]
syslog Überprüfen Sie, ob die Remote-Protokollierung zulässig ist[Nicht erlaubt]

Führen Sie eine Dateisystemprüfung durch
    「/Suchen Sie nach verdächtigen Dateitypen von "dev".[Keine Entdeckung]
Suchen Sie nach versteckten Dateien und Verzeichnissen[Keine Entdeckung]


Übersicht über die Systemprüfung
=====================

Überprüfung der Dateieigenschaften...
Dateiprüfung: 143
Verdächtige Datei: 1

Rootkit-Check...
Rootkit überprüft: 477
Möglichkeit des Rootkits: 0

Anwendungsprüfung...
Alle Prüfungen wurden übersprungen.

Systemprüfwerkzeug: 1 minute and 25 seconds

Alle Ergebnisse wurden in die Protokolldatei geschrieben: /var/log/rkhunter.log

Bei der Systemprüfung wurden eine oder mehrere Warnungen gefunden.
Logdatei(/var/log/rkhunter.log)Bitte prüfen.

# 

Recommended Posts

Bestätigung, dass rkhunter installiert werden kann
Dateitypen, die mit Go verwendet werden können
Funktionen, die in der for-Anweisung verwendet werden können
Erstellen von Sphinx, das mit Markdown geschrieben werden kann
Listen Sie Pakete auf, die mit pip aktualisiert werden können
Importieren Sie Bibliotheken, die mit PyCharm nicht per Pip installiert werden können
Liste der Farben, die mit tkinter (Denkmal) eingestellt werden können
Hinweise zu Python-Kenntnissen, die mit AtCoder verwendet werden können
ANTs Bildregistrierung, die in 5 Minuten verwendet werden kann
[Django] Über Benutzer, die für Vorlagen verwendet werden können
Deep Learning Kurs, der vor Ort zerquetscht werden kann
Grenzwerte, die mit MeCab sofort analysiert werden können
Listen Sie die Klassen auf, auf die ObjCClass verweisen kann
Formatübersicht der Formate, die mit gensim serialisiert werden können
Es scheint, dass Skeleton Tracking mit RealSense durchgeführt werden kann
Grundkenntnisse in DNS, die jetzt nicht zu hören sind
Goroutine (parallele Steuerung), die im Feld eingesetzt werden kann
Textanalyse, die in 5 Minuten durchgeführt werden kann [Word Cloud]
Goroutine, die im Feld verwendet werden kann (errgroup.Group Edition)
Skripte, die bei der Verwendung von Bottle in Python verwendet werden können
Implementieren Sie einen Thread, der durch Ausnutzen von Yield angehalten werden kann
Ich habe die Vorbehandlung untersucht, die mit PyCaret durchgeführt werden kann
Lassen Sie uns ein Diagramm erstellen, auf das mit IPython geklickt werden kann
Bewertungsindex, der für GridSearchCV von sklearn angegeben werden kann
Pakete, die enthalten sein sollten
Es könnte rekursiv sein
Wenn pydub nicht installiert werden kann
[Python] Erstellen Sie ein Diagramm, das mit Plotly verschoben werden kann
[Python] Ich habe meine eigene Bibliothek erstellt, die dynamisch importiert werden kann
Untersuchung der von Python steuerbaren Gleichstromversorgung
Erstellen Sie eine Spinbox, die mit Tkinter in Binär angezeigt werden kann
Ein Timer (Ticker), der im Feld verwendet werden kann (kann überall verwendet werden)
Umgang mit Zeichenketten in der JSON-Kommunikation
Erstellen Sie ein Währungsdiagramm, das mit Plotly (2) verschoben werden kann.
Zusammenfassung der Standardeingabe von Python, die in Competition Pro verwendet werden kann
Vergleich von 4 Stilen, die mit set_context an seaborn übergeben werden können
Erstellen Sie eine Spinbox, die mit Tkinter in HEX angezeigt werden kann
Python-Standardmodul, das in der Befehlszeile verwendet werden kann
Erstellen Sie ein Währungsdiagramm, das mit Plotly (1) verschoben werden kann.