Un rootkit e o aplicatie complexa creata pentru a ascunde urmele pe un sistem compromis iar, in cazul rootkit-urilor avansate, asigura o cale de acces (backdoor) pe sistemul compromis. Din fericire exista aplicatii de audit care folosesc metode avansate de detectare a breselor de securitate, aplicatii capabile sa detecteze semnatura diferitelor rootkit-uri. O astfel de aplicatie este rkhunter.
rkhunter e probabil cea mai eficienta aplicatie de detectare a rootkit-urilor si e un “must have” pentru orice administrator de sistem UNIX-Like. In momentul de fata ruleaza pe majoritatea distributiilor Linux, pe FreeBSD si OpenBSD, pe Solaris si AIX – plus alte sisteme de operare pe care nu a fost portat, dar pe care s-a reusit instalarea si rularea aplicatiei folosind binarele puse la dispozitie pe site-ul oficial.
Desi rootkit-urile nu pot fi eliminate in majoritatea cazurilor, rkhunter ofera un raport complet referitor la tipul rootkit-ului detectat pentru ca apoi administratorul serverului sa il poata sterge.
Majoritatea sistemelor de operare au rkhunter in cadrul propriului sistem de aplicatii portate. In cazul FreeBSD rkhunter poate fi gasit in porturi, in directorul /usr/ports/security/rkhunter. Pentru a-l instala trebuie sa intram in directorul mentionat si sa rulam comanda make install distclean:
1 2 | [root@localhost ~/]# cd /usr/ports/security/rkhunter [root@localhost rkhunter]# make install distclean |
In mod normal instalarea ar trebui sa se finalizeze in cel mult 5 minute, dupa care utilitarul poate fi lansat in executie folosind comanda /usr/local/bin/rkhunter -c:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | [root@localhost rkhunter]# /usr/local/bin/rkhunter -c [ Rootkit Hunter version 1.3.4 ] Checking system commands... Performing 'strings' command checks Checking 'strings' command [ OK ] Performing 'shared libraries' checks Checking for preloading variables [ None found ] Checking for preload file [ Not found ] Checking LD_LIBRARY_PATH variable [ Not found ] Performing file properties checks Checking for prerequisites [ Warning ] ... |
Dupa instalare ar fi indicat sa setam un cron pentru rkhunter pentru a se updata zilnic si pentru a ne trimite zilnic pe mail un raport. Pentru asta va trebui sa cream un script cu numele rkup.sh care il vom pune in folderul /root. Scriptul va contine urmatoarele linii:
1 2 3 4 | #!/bin/sh /usr/local/bin/rkhunter --update --nocolors /usr/local/bin/rkhunter --checkall --nocolors --skip-keypress | mail -s "Rezultat scanare RKHunter" sysadmin@exemplu.ro |
Adresa sysadmin@exemplu.ro se inlocuieste cu adresa de mail care o folosit pentru rapoarte. Dupa ce am creat fisierul ii setam permisiuni 700 si adaugam in /etc/crontab o linie care sa ruleze scriptul /root/rkup.sh zilnic.
1 2 | [root@localhost ~]# chmod 700 /root/rkup.sh [root@localhost ~]# echo '0 * * * * root /root/rkup.sh 2>&1' >> /etc/crontab |