[LINUX] Confirmation que rkhunter peut être installé

À propos de ce document

Nous avons confirmé ce qui sera fait pour rkhunter, qui est connu comme une contre-mesure contre le rootkit.

Eguzekutibusamari

--rkhunter peut également rechercher des éléments suspects autres que rootkit.

Installation

Si vous regardez la [page de projet] de rkhunter (http://rkhunter.sourceforge.net/), vous devriez voir l'installation Tutorial. Puisqu'il y en a, continuez en y faisant référence.

Installation du package

Quand j'y ai pensé, il y avait un paquet.

# apt-get install rkhunter

Malheureusement, les paramètres par défaut sont (intentionnellement?) Incorrects et ne fonctionnent pas.

――Il semble que vous puissiez vérifier sans mettre à jour la base de données, mais cela n'a pas beaucoup de sens.

# rkhunter --update
Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"
# 

Ajustement

Ajustez / etc / rkhunter.conf. Le but étant de vérifier visuellement le fonctionnement, l'affichage passe au japonais.

--Paramètres de langue

--Paramètres liés aux commandes utilisées dans --update

La configuration par défaut ne fonctionne pas correctement. Veuillez noter que peu d'articles mentionnent cela.

--Lorsque vous regardez UPDATE_MIRRORS, MIRRORS_MODE et WEB_CMD, vous pourriez penser que vous ne voulez pas montrer le miroir d'ubuntu ou vous devriez le mettre en miroir vous-même (si vous le rendez disponible immédiatement, beaucoup d'accès se produira).

Confirmation et mise à jour

Après la modification, utilisez --config-check (forme courte: -C) pour vérifier, puis utilisez --update pour mettre à jour la base de données.

[Rootkit Hunter version 1.4.6 ]

Vérifiez le fichier de données rkhunter...
Miroirs de fichiers.Vérifier dat[Pas de mise à jour]
Programmes de fichiers_bad.Vérifier dat[Pas de mise à jour]
Fichiers backdoorports.Vérifier dat[Pas de mise à jour]
Analyse des fichiers.Vérifier dat[Pas de mise à jour]
Fichier i18n/Vérifier cn[Pas de mise à jour]
Fichier i18n/Vérifiez de[Pas de mise à jour]
Fichier i18n/Vérifier en[Pas de mise à jour]
Fichier i18n/Vérifiez tr[Pas de mise à jour]
Fichier i18n/tr.Vérifiez utf8[Pas de mise à jour]
Fichier i18n/Vérifiez zh[Pas de mise à jour]
Fichier i18n/zh.Vérifiez utf8[Pas de mise à jour]
Fichier i18n/Vérifiez ja[Pas de mise à jour]
root@tooltest:~# 

Analyser et vérifier les résultats

Voir premier scan sur le wiki pour le scan.

Les résultats de l'analyse sont longs, je les mets donc en annexe à la fin. Seul le résumé est traité ici.

-- - check peut être raccourci avec -c, mais il peut être confondu avec -C of --config-check. ---- skip-keypress peut être raccourci avec -sk.

# rkhunter --check --skip-keypress
(snip)
Aperçu de la vérification du système
=====================

Vérification des propriétés du fichier...
Contrôle de fichier: 143
Fichier suspect: 0

Vérification du rootkit...
Rootkit vérifié: 477
Possibilité de rootkit: 0

Vérification de l'application...
Tous les contrôles ont été ignorés.

Outil de vérification du système: 1 minute and 38 seconds

Tous les résultats ont été écrits dans le fichier journal: /var/log/rkhunter.log

Aucun avertissement n'a été trouvé lors de la vérification du système.

# vi /etc/rkhunter.conf 

Confirmation du contenu de l'inspection

Il est décrit en détail dans / var / log / rkhunter.log.

--Par défaut, il sera écrasé, vous devez donc le modifier en fonction de la méthode d'opération. Cela peut être un enregistrement du moment où cela a changé. ――Il semble que vous vérifiez diverses choses autres que la porte arrière et le kit racine. Un aperçu est donné ci-dessous

Résumé

En tant que tendance récente, il est important de pouvoir rapidement remarquer qu'il est impossible / intrusif d'empêcher toutes les intrusions. Compte tenu du champ d'application de rkhunter, on considère qu'un fonctionnement plus sûr peut être obtenu en l'utilisant en combinaison avec d'autres outils.

--Facile à installer, mais il est nécessaire d'ajuster les paramètres en fonction de l'opération

Appendix

analyse

Connectez-vous à la console

Un avertissement a été émis car lwp-request a été mis à jour après rkhunter --propupd. Si vous pouvez confirmer qu'il n'y a pas de problème, faites --propupd et il sera reconnu comme étant le problème actuel, et aucun avertissement ne sera émis la prochaine fois.

# rkhunter -c -sk
[Rootkit Hunter version 1.4.6 ]

Vérifier les commandes système...

Effectuer une vérification de la commande "chaînes"
Vérifiez la commande "strings"[ OK ]

Effectuer une vérification "bibliothèque partagée"
Vérifier les variables de précharge[Aucune découverte]
Vérifiez la bibliothèque de préchargement[Aucune découverte]
    「LD_LIBRARY_Vérifiez la variable "PATH"[Non découvert]

Effectuer une vérification des propriétés du fichier
Vérifier les prérequis[ OK ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/cron                                           [ OK ]
    /usr/sbin/depmod                                         [ OK ]
    /usr/sbin/fsck                                           [ OK ]
    /usr/sbin/groupadd                                       [ OK ]
    /usr/sbin/groupdel                                       [ OK ]
    /usr/sbin/groupmod                                       [ OK ]
    /usr/sbin/grpck                                          [ OK ]
    /usr/sbin/ifconfig                                       [ OK ]
    /usr/sbin/init                                           [ OK ]
    /usr/sbin/insmod                                         [ OK ]
    /usr/sbin/ip                                             [ OK ]
    /usr/sbin/lsmod                                          [ OK ]
    /usr/sbin/modinfo                                        [ OK ]
    /usr/sbin/modprobe                                       [ OK ]
    /usr/sbin/nologin                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/rmmod                                          [ OK ]
    /usr/sbin/route                                          [ OK ]
    /usr/sbin/rsyslogd                                       [ OK ]
    /usr/sbin/runlevel                                       [ OK ]
    /usr/sbin/sulogin                                        [ OK ]
    /usr/sbin/sysctl                                         [ OK ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    /usr/sbin/usermod                                        [ OK ]
    /usr/sbin/vipw                                           [ OK ]
    /usr/sbin/unhide                                         [ OK ]
    /usr/sbin/unhide-linux                                   [ OK ]
    /usr/sbin/unhide-posix                                   [ OK ]
    /usr/sbin/unhide-tcp                                     [ OK ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/bash                                            [ OK ]
    /usr/bin/cat                                             [ OK ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/chmod                                           [ OK ]
    /usr/bin/chown                                           [ OK ]
    /usr/bin/cp                                              [ OK ]
    /usr/bin/curl                                            [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/date                                            [ OK ]
    /usr/bin/df                                              [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/dmesg                                           [ OK ]
    /usr/bin/dpkg                                            [ OK ]
    /usr/bin/dpkg-query                                      [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/echo                                            [ OK ]
    /usr/bin/ed                                              [ OK ]
    /usr/bin/egrep                                           [ OK ]
    /usr/bin/env                                             [ OK ]
    /usr/bin/fgrep                                           [ OK ]
    /usr/bin/file                                            [ OK ]
    /usr/bin/find                                            [ OK ]
    /usr/bin/fuser                                           [ OK ]
    /usr/bin/GET                                             [ OK ]
    /usr/bin/grep                                            [ OK ]
    /usr/bin/groups                                          [ OK ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/ip                                              [ OK ]
    /usr/bin/ipcs                                            [ OK ]
    /usr/bin/kill                                            [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ OK ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/logger                                          [ OK ]
    /usr/bin/login                                           [ OK ]
    /usr/bin/ls                                              [ OK ]
    /usr/bin/lsattr                                          [ OK ]
    /usr/bin/lsmod                                           [ OK ]
    /usr/bin/lsof                                            [ OK ]
    /usr/bin/mail                                            [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/mktemp                                          [ OK ]
    /usr/bin/more                                            [ OK ]
    /usr/bin/mount                                           [ OK ]
    /usr/bin/mv                                              [ OK ]
    /usr/bin/netstat                                         [ OK ]
    /usr/bin/newgrp                                          [ OK ]
    /usr/bin/passwd                                          [ OK ]
    /usr/bin/perl                                            [ OK ]
    /usr/bin/pgrep                                           [ OK ]
    /usr/bin/ping                                            [ OK ]
    /usr/bin/pkill                                           [ OK ]
    /usr/bin/ps                                              [ OK ]
    /usr/bin/pstree                                          [ OK ]
    /usr/bin/pwd                                             [ OK ]
    /usr/bin/readlink                                        [ OK ]
    /usr/bin/rkhunter                                        [ OK ]
    /usr/bin/runcon                                          [ OK ]
    /usr/bin/sed                                             [ OK ]
    /usr/bin/sh                                              [ OK ]
    /usr/bin/sha1sum                                         [ OK ]
    /usr/bin/sha224sum                                       [ OK ]
    /usr/bin/sha256sum                                       [ OK ]
    /usr/bin/sha384sum                                       [ OK ]
    /usr/bin/sha512sum                                       [ OK ]
    /usr/bin/size                                            [ OK ]
    /usr/bin/sort                                            [ OK ]
    /usr/bin/ssh                                             [ OK ]
    /usr/bin/stat                                            [ OK ]
    /usr/bin/strace                                          [ OK ]
    /usr/bin/strings                                         [ OK ]
    /usr/bin/su                                              [ OK ]
    /usr/bin/sudo                                            [ OK ]
    /usr/bin/tail                                            [ OK ]
    /usr/bin/telnet                                          [ OK ]
    /usr/bin/test                                            [ OK ]
    /usr/bin/top                                             [ OK ]
    /usr/bin/touch                                           [ OK ]
    /usr/bin/tr                                              [ OK ]
    /usr/bin/uname                                           [ OK ]
    /usr/bin/uniq                                            [ OK ]
    /usr/bin/users                                           [ OK ]
    /usr/bin/vmstat                                          [ OK ]
    /usr/bin/w                                               [ OK ]
    /usr/bin/watch                                           [ OK ]
    /usr/bin/wc                                              [ OK ]
    /usr/bin/wget                                            [ OK ]
    /usr/bin/whatis                                          [ OK ]
    /usr/bin/whereis                                         [ OK ]
    /usr/bin/which                                           [ OK ]
    /usr/bin/who                                             [ OK ]
    /usr/bin/whoami                                          [ OK ]
    /usr/bin/numfmt                                          [ OK ]
    /usr/bin/kmod                                            [ OK ]
    /usr/bin/systemd                                         [ OK ]
    /usr/bin/systemctl                                       [ OK ]
    /usr/bin/mawk                                            [ OK ]
    /usr/bin/lwp-request                                     [avertissement]
    /usr/bin/bsd-mailx                                       [ OK ]
    /usr/bin/dash                                            [ OK ]
    /usr/bin/x86_64-linux-gnu-size                           [ OK ]
    /usr/bin/x86_64-linux-gnu-strings                        [ OK ]
    /usr/bin/telnet.netkit                                   [ OK ]
    /usr/bin/w.procps                                        [ OK ]
    /usr/lib/systemd/systemd                                 [ OK ]

Vérifier les rootkits...

Effectuer une vérification des fichiers et répertoires de rootkit connus
    55808 Trojan - Variant A                                 [Non découvert]
    ADM Worm                                                 [Non découvert]
    AjaKit Rootkit                                           [Non découvert]
    Adore Rootkit                                            [Non découvert]
    aPa Kit                                                  [Non découvert]
    Apache Worm                                              [Non découvert]
    Ambient (ark) Rootkit                                    [Non découvert]
    Balaur Rootkit                                           [Non découvert]
    BeastKit Rootkit                                         [Non découvert]
    beX2 Rootkit                                             [Non découvert]
    BOBKit Rootkit                                           [Non découvert]
    cb Rootkit                                               [Non découvert]
    CiNIK Worm (Slapper.B variant)                           [Non découvert]
    Danny-Boy's Abuse Kit                                    [Non découvert]
    Devil RootKit                                            [Non découvert]
    Diamorphine LKM                                          [Non découvert]
    Dica-Kit Rootkit                                         [Non découvert]
    Dreams Rootkit                                           [Non découvert]
    Duarawkz Rootkit                                         [Non découvert]
    Ebury backdoor                                           [Non découvert]
    Enye LKM                                                 [Non découvert]
    Flea Linux Rootkit                                       [Non découvert]
    Fu Rootkit                                               [Non découvert]
    Fuck`it Rootkit                                          [Non découvert]
    GasKit Rootkit                                           [Non découvert]
    Heroin LKM                                               [Non découvert]
    HjC Kit                                                  [Non découvert]
    ignoKit Rootkit                                          [Non découvert]
    IntoXonia-NG Rootkit                                     [Non découvert]
    Irix Rootkit                                             [Non découvert]
    Jynx Rootkit                                             [Non découvert]
    Jynx2 Rootkit                                            [Non découvert]
    KBeast Rootkit                                           [Non découvert]
    Kitko Rootkit                                            [Non découvert]
    Knark Rootkit                                            [Non découvert]
    ld-linuxv.so Rootkit                                     [Non découvert]
    Li0n Worm                                                [Non découvert]
    Lockit / LJK2 Rootkit                                    [Non découvert]
    Mokes backdoor                                           [Non découvert]
    Mood-NT Rootkit                                          [Non découvert]
    MRK Rootkit                                              [Non découvert]
    Ni0 Rootkit                                              [Non découvert]
    Ohhara Rootkit                                           [Non découvert]
    Optic Kit (Tux) Worm                                     [Non découvert]
    Oz Rootkit                                               [Non découvert]
    Phalanx Rootkit                                          [Non découvert]
    Phalanx2 Rootkit                                         [Non découvert]
    Phalanx2 Rootkit (extended tests)                        [Non découvert]
    Portacelo Rootkit                                        [Non découvert]
    R3dstorm Toolkit                                         [Non découvert]
    RH-Sharpe's Rootkit                                      [Non découvert]
    RSHA's Rootkit                                           [Non découvert]
    Scalper Worm                                             [Non découvert]
    Sebek LKM                                                [Non découvert]
    Shutdown Rootkit                                         [Non découvert]
    SHV4 Rootkit                                             [Non découvert]
    SHV5 Rootkit                                             [Non découvert]
    Sin Rootkit                                              [Non découvert]
    Slapper Worm                                             [Non découvert]
    Sneakin Rootkit                                          [Non découvert]
    'Spanish' Rootkit                                        [Non découvert]
    Suckit Rootkit                                           [Non découvert]
    Superkit Rootkit                                         [Non découvert]
    TBD (Telnet BackDoor)                                    [Non découvert]
    TeLeKiT Rootkit                                          [Non découvert]
    T0rn Rootkit                                             [Non découvert]
    trNkit Rootkit                                           [Non découvert]
    Trojanit Kit                                             [Non découvert]
    Tuxtendo Rootkit                                         [Non découvert]
    URK Rootkit                                              [Non découvert]
    Vampire Rootkit                                          [Non découvert]
    VcKit Rootkit                                            [Non découvert]
    Volc Rootkit                                             [Non découvert]
    Xzibit Rootkit                                           [Non découvert]
    zaRwT.KiT Rootkit                                        [Non découvert]
    ZK Rootkit                                               [Non découvert]

Effectuer une vérification supplémentaire du rootkit
Vérification supplémentaire de Suckit Rootkit[ OK ]
Recherchez d'éventuels fichiers et répertoires de rootkit[Aucune découverte]
Recherchez d'éventuelles chaînes de rootkit[Aucune découverte]

Effectuer une vérification des logiciels malveillants
Vérifier l'exécution du processus des fichiers suspects[Aucune découverte]
Vérifiez la porte arrière de connexion[Aucune découverte]
Vérifiez le fichier journal du renifleur[Aucune découverte]
Rechercher les répertoires suspects[Aucune découverte]
Segment de mémoire partagée suspect[Aucune découverte]
Vérifier la porte dérobée Apache[Non découvert]

Effectuer des vérifications spécifiques à Linux
Rechercher les modules de noyau chargés[ OK ]
Vérifiez le nom du module du noyau[ OK ]

Vérification du réseau...

Effectuer une vérification du port réseau
Vérifiez le port de la porte arrière[Aucune découverte]

Effectuer une vérification de l'interface réseau
Vérifiez l'interface Promise Cass[Aucune découverte]

Vérifier l'hôte local...

Effectuer une vérification du démarrage du système
Vérifiez le nom d'hôte local[Découverte]
Vérifier les fichiers de démarrage du système[Découverte]
Rechercher les fichiers de démarrage du système malveillant[Aucune découverte]

Effectuer des vérifications de groupe et de compte
Vérifiez le fichier de mot de passe[Découverte]
équivalent racine(UID 0)Vérifiez votre compte[Aucune découverte]
Vérifier l'absence de mot de passe de compte[Aucune découverte]
Vérifier les modifications du fichier de mot de passe[Aucune découverte]
Vérification des changements de fichiers de groupe[Aucune découverte]
Vérifiez le fichier d'historique du shell pour le compte root[ OK ]

Effectuer une vérification du fichier de configuration du système
Vérifiez le fichier de configuration SSH[Non découvert]
Vérifiez le démon de journalisation du système en cours d'exécution[Découverte]
Vérifiez le fichier de configuration de la journalisation du système[Découverte]
syslog Vérifiez si la journalisation à distance est autorisée[Interdit]

Effectuer une vérification du système de fichiers
    「/Rechercher les types de fichiers suspects de "dev"[Aucune découverte]
Rechercher les fichiers et répertoires cachés[Aucune découverte]


Aperçu de la vérification du système
=====================

Vérification des propriétés du fichier...
Contrôle de fichier: 143
Fichier suspect: 1

Vérification du rootkit...
Rootkit vérifié: 477
Possibilité de rootkit: 0

Vérification de l'application...
Tous les contrôles ont été ignorés.

Outil de vérification du système: 1 minute and 25 seconds

Tous les résultats ont été écrits dans le fichier journal: /var/log/rkhunter.log

Un ou plusieurs avertissements ont été trouvés lors de la vérification du système.
fichier journal(/var/log/rkhunter.log)Vérifiez s'il vous plaît.

# 

Recommended Posts

Confirmation que rkhunter peut être installé
Types de fichiers pouvant être utilisés avec Go
Fonctions pouvant être utilisées dans l'instruction for
Construire un Sphinx qui peut être écrit avec Markdown
Répertorier les packages pouvant être mis à jour avec pip
Importer des bibliothèques qui ne peuvent pas être installées par pip avec PyCharm
Liste des couleurs pouvant être définies avec tkinter (mémorial)
Notes sur les connaissances Python utilisables avec AtCoder
Enregistrement d'image ANT qui peut être utilisé en 5 minutes
[Django] À propos des utilisateurs pouvant être utilisés sur un modèle
Cours de Deep Learning pouvant être écrasé sur place
Limites qui peuvent être analysées à la fois avec MeCab
Lister les classes qui peuvent être référencées par ObjCClass
Récapitulatif du format des formats qui peuvent être sérialisés avec gensim
Il semble que le suivi des squelettes puisse être effectué avec RealSense
Connaissance de base du DNS qui ne peut pas être entendue maintenant
Goroutine (contrôle parallèle) utilisable sur le terrain
Analyse de texte pouvant être effectuée en 5 minutes [Word Cloud]
Goroutine utilisable sur le terrain (édition errgroup.Group)
Scripts pouvant être utilisés lors de l'utilisation de Bottle en Python
Implémentez un thread qui peut être suspendu en exploitant le rendement
J'ai étudié le prétraitement qui peut être fait avec PyCaret
Faisons un diagramme sur lequel on peut cliquer avec IPython
Index d'évaluation pouvant être spécifié pour GridSearchCV de sklearn
Paquets qui devraient être inclus
Cela pourrait être récursif
Lorsque pydub ne peut pas être installé
[Python] Créez un graphique qui peut être déplacé avec Plotly
[Python] J'ai créé ma propre bibliothèque qui peut être importée dynamiquement
Enquête sur l'alimentation CC contrôlable par Python
Créez une Spinbox qui peut être affichée en binaire avec Tkinter
Un minuteur (ticker) qui peut être utilisé sur le terrain (peut être utilisé n'importe où)
Gestion des chaînes de caractères dans la communication JSON
Créez un graphique des devises qui peut être déplacé avec Plotly (2)
Résumé de l'entrée standard de Python pouvant être utilisée dans Competition Pro
Comparaison de 4 styles pouvant être passés à seaborn avec set_context
Créez une Spinbox pouvant être affichée dans HEX avec Tkinter
Module standard Python utilisable en ligne de commande
Créez un graphique des devises qui peut être déplacé avec Plotly (1)