كيفية البحث عن الجذور الخفية والأبواب الخلفية والمآثر باستخدام "Rootkit Hunter" في Linux

instagram story viewer

يا رفاق ، إذا كنت قارئًا منتظمًا لموقع tecmint.com ، فستلاحظ أن هذه هي مقالتنا الثالثة حول أدوات الأمان. في المادتين السابقتين ، قدمنا ​​لك كل الإرشادات حول كيفية الحماية اباتشي و أنظمة لينوكس من البرمجيات الخبيثة, دوس ، و DDOS باستخدام الهجمات mod_security و mod_evasive و LMD (اكتشاف البرامج الضارة على نظام Linux).

مرة أخرى ، نحن هنا لتقديم أداة أمان جديدة تسمى رخونتر (روتكيت هنتر). ستوجهك هذه المقالة إلى طريقة التثبيت والتهيئة RKH (RootKit هنتر) في أنظمة Linux باستخدام شفرة المصدر.

Rootkit Hunter - يفحص أنظمة Linux بحثًا عن الجذور الخفية والأبواب الخلفية والمآثر المحلية
Rootkit Hunter - يفحص أنظمة Linux بحثًا عن الجذور الخفية والأبواب الخلفية والمآثر المحلية

ما هو رخونتر؟

رخونتر (روتكيت هنتر) هي أداة مسح ضوئي مفتوحة المصدر تستند إلى نظام التشغيل Linux / Unix لأنظمة Linux تم إصدارها بموجب GPL يقوم بمسح الأبواب الخلفية والجذور الخفية والمآثر المحلية على أنظمتك.

يقوم بمسح الملفات المخفية ، والأذونات الخاطئة التي تم تعيينها على الثنائيات ، والسلاسل المشبوهة في النواة ، وما إلى ذلك. لمعرفة المزيد عن Rkhunter وميزاتها ، تفضل بزيارة http://rkhunter.sourceforge.net/.

قم بتثبيت Rootkit Hunter Scanner في أنظمة Linux

الخطوة 1: تنزيل Rkhunter

أولاً ، قم بتنزيل أحدث إصدار ثابت من رخونتر أداة بالذهاب إلى http://rkhunter.sourceforge.net/ أو استخدم ما يلي Wget الأمر لتنزيله على أنظمتك.

# cd / tmp. # wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz

الخطوة 2: تثبيت Rkhunter

بمجرد تنزيل أحدث إصدار ، قم بتشغيل الأوامر التالية كملف جذر المستخدم لتثبيته.

# tar -xvf rkhunter-1.4.6.tar.gz # cd rkhunter-1.4.6. # ./installer.sh - مخطط افتراضي - التثبيت
إخراج العينة
فحص النظام لـ: ملفات مثبت Rootkit Hunter: وجدت أمر تنزيل ملف الويب: تم ​​العثور على wget. بدء التثبيت: التحقق من دليل التثبيت "/ usr / local": إنه موجود وقابل للكتابة. التحقق من أدلة التثبيت: الدليل /usr/local/share/doc/rkhunter-1.4.2: الإنشاء: OK Directory / usr / local / share / man / man8: موجود وقابل للكتابة. الدليل / الخ: موجود وقابل للكتابة. الدليل / usr / local / bin: موجود وقابل للكتابة. الدليل / usr / local / lib64: موجود وقابل للكتابة. الدليل / var / lib: موجود وقابل للكتابة. Directory / usr / local / lib64 / rkhunter / scripts: الإنشاء: OK Directory / var / lib / rkhunter / db: الإنشاء: OK Directory / var / lib / rkhunter / tmp: الإنشاء: OK Directory / var / lib / rkhunter / db / i18n: الإنشاء: OK Directory / var / lib / rkhunter / db / التوقيعات: الإنشاء: موافق تثبيت check_modules.pl: موافق تثبيت filehashsha.pl: موافق تثبيت stat.pl: موافق تثبيت readlink.sh: موافق تثبيت backdoorports.dat: موافق تثبيت mirrors.dat: موافق تثبيت program_bad.dat: موافق تثبيت suspscan.dat: موافق تثبيت rkhunter.8: موافق تثبيت ACKNOWLEDGMENTS: موافق التثبيت سجل التغيير: موافق تثبيت التعليمات: موافق تثبيت الترخيص: موافق التثبيت README: موافق تثبيت ملفات دعم اللغة: موافق تثبيت توقيعات ClamAV: موافق تثبيت rkhunter: موافق التثبيت rkhunter.conf: حسنًا. اكتمل التثبيت. 

الخطوة 3: تحديث Rkhunter

قم بتشغيل RKH محدث لملء خصائص قاعدة البيانات عن طريق تشغيل الأمر التالي.

# / usr / local / bin / rkhunter - تحديث. # / usr / local / bin / rkhunter --propupd
إخراج العينة
[إصدار Rootkit Hunter 1.4.6] جارٍ فحص ملفات بيانات rkhunter... التحقق من ملف mirrors.dat [محدث] فحص ملف Programs_bad.dat [لا يوجد تحديث] فحص الملف backdoorports.dat [لا يوجد تحديث] فحص الملف suspscan.dat [لا يوجد تحديث] فحص الملف i18n / cn [لا يوجد تحديث] فحص الملف i18n / de [لا يوجد تحديث] فحص الملف i18n / en [لا يوجد تحديث] فحص الملف i18n / tr [لا يوجد تحديث] فحص الملف i18n / tr.utf8 [لا يوجد تحديث] فحص الملف i18n / zh [لا يوجد تحديث] فحص الملف i18n / zh.utf8 [بلا تحديث] فحص الملف i18n / ja [لا يوجد تحديث] تم إنشاء الملف: تم البحث عن 177 ملفًا ، والعثور على 131 ، وعلامات تجزئة مفقودة 1.

الخطوة 4: ضبط Cronjob وتنبيهات البريد الإلكتروني

قم بإنشاء ملف يسمى rkhunter.sh تحت /etc/cron.daily/، والذي يقوم بعد ذلك بفحص نظام الملفات الخاص بك كل يوم ويرسل إشعارات البريد الإلكتروني إلى معرف البريد الإلكتروني الخاص بك. قم بإنشاء الملف التالي بمساعدة المحرر المفضل لديك.

# vi /etc/cron.daily/rkhunter.sh

أضف سطور التعليمات البرمجية التالية إليه واستبدل "YourServerNameHere" مع الخاص بك "اسم الخادم" و "[البريد الإلكتروني محمي]" مع الخاص بك "عنوان الايميل“.

#! / بن / ش. ( / usr / local / bin / rkhunter --versioncheck. / usr / local / bin / rkhunter - تحديث. / usr / local / bin / rkhunter --cronjob --report-warnings-only. ) | / bin / mail -s 'rkhunter Daily Run (PutYourServerNameHere)' [البريد الإلكتروني محمي]

تعيين إذن التنفيذ على الملف.

# chmod 755 /etc/cron.daily/rkhunter.sh

الخطوة 5: المسح اليدوي والاستخدام

لفحص نظام الملفات بأكمله ، قم بتشغيل ملف رخونتر كمستخدم أساسي.

# rkhunter - تحقق
إخراج العينة
[إصدار Rootkit Hunter 1.4.6] جارٍ فحص أوامر النظام... يؤدي تنفيذ أمر "السلاسل" إلى التحقق من أمر "السلاسل" [موافق] إجراء فحوصات "المكتبات المشتركة" التحقق من متغيرات التحميل المسبق [لم يتم العثور على أي شيء] التحقق من المكتبات المحملة مسبقًا [لا شيء تم العثور] التحقق من متغير LD_LIBRARY_PATH [لم يتم العثور عليه] إجراء فحوصات خصائص الملف التحقق من المتطلبات الأساسية [OK] / usr / local / bin / rkhunter [OK] / usr / sbin / adduser [OK] / usr / sbin / chkconfig [OK] / usr / sbin / chroot [OK] / usr / sbin / depmod [OK] / usr / sbin / fsck [OK] / usr / sbin / fuser [OK] / usr / sbin / groupadd [OK] / usr / sbin / groupdel [OK] / usr / sbin / groupmod [OK] / usr / sbin / grpck [OK] / usr / sbin / ifconfig [OK] / usr / sbin / ifdown [تحذير] / usr / sbin / ifup [تحذير] / usr / sbin / init [OK] / usr / sbin / insmod [OK] / usr / sbin / ip [OK] / usr / sbin / lsmod [OK] / usr / sbin / lsof [OK] / usr / sbin / modinfo [OK] / usr / sbin / modprobe [OK] / usr / sbin / nologin [OK] / usr / sbin / pwck [OK] / usr / sbin / rmmod [OK] / usr / sbin / route [OK] / usr / sbin / rsyslogd [OK] / usr / sbin / runlevel [OK] / usr / sbin / sestatus [OK] / usr / sbin / sshd [OK] / usr / sbin / sulogin [OK] / usr / sbin / sysctl [OK] / usr / sbin / tcpd [OK] / usr / sbin / useradd [OK] / usr / sbin / userdel [OK] / usr / sbin / usermod [OK]... [اضغط للمتابعة] جارٍ البحث عن برامج rootkits... إجراء فحص لملفات وأدلة rootkit المعروفة 55808 Trojan - Variant A [غير موجود] ADM Worm [غير موجود] AjaKit Rootkit [لم يتم العثور على] Adore Rootkit [لم يتم العثور عليه] aPa Kit [غير موجود]... [اضغط للمتابعة] إجراء فحوصات إضافية للجذور الخفية Suckit Rookit فحوصات إضافية [موافق] التحقق من ملفات وأدلة الجذور الخفية المحتملة [لم يتم العثور على أي شيء] التحقق من سلاسل الجذور الخفية المحتملة [لم يتم العثور على أي شيء]... [اضغط للمتابعة] التحقق من الشبكة... جاري التحقق من منافذ الشبكة التحقق من منافذ الباب الخلفي [لم يتم العثور على أي شيء]... إجراء فحوصات ملف تكوين النظام التحقق من ملف تكوين SSH [تم العثور عليه] التحقق مما إذا كان الوصول إلى جذر SSH مسموحًا به [تحذير] التحقق مما إذا كان بروتوكول SSH v1 مسموحًا به [ تحذير] التحقق من وجود برنامج خفي لتسجيل النظام قيد التشغيل [تم العثور عليه] التحقق من ملف تكوين تسجيل نظام [تم العثور عليه] التحقق مما إذا كان تسجيل سجل النظام عن بُعد مسموحًا به [غير مسموح به ]... النظام يتحقق من الملخص. عمليات فحص خصائص الملف... الملفات التي تم فحصها: 137 ملفًا مشتبه به: 6 فحوصات جذرية... تم فحص الجذور الخفية: 383 مجموعة أدوات الجذر المحتملة: 0 عمليات فحص التطبيقات... تم فحص الطلبات: 5 طلبات مشتبه بها: 2 استغرقت فحوصات النظام: 5 دقائق و 38 ثانية جميع النتائج تمت كتابته في ملف السجل: /var/log/rkhunter.log تم العثور على تحذير واحد أو أكثر أثناء التحقق من النظام. يرجى التحقق من ملف السجل (/var/log/rkhunter.log)

يقوم الأمر أعلاه بإنشاء ملف سجل تحت /var/log/rkhunter.log مع نتائج الفحص التي تم إجراؤها بواسطة رخونتر.

# cat /var/log/rkhunter.log. 
إخراج العينة
[11:21:04] تشغيل الإصدار 1.4.6 من Rootkit Hunter على tecmint. [11:21:04] [11:21:04] معلومات: تاريخ البدء هو الاثنين 21 ديسمبر 11:21:04 صباحًا بتوقيت الهند الصيفي 2020. [11:21:04] [11:21:04] التحقق من ملف التكوين وخيارات سطر الأوامر... [11:21:04] معلومات: نظام التشغيل الذي تم اكتشافه هو "Linux" [11:21:04] معلومات: تم العثور على اسم O / S: إصدار Fedora 33 (ثلاثة وثلاثون) [11:21:04] المعلومات: سطر الأوامر هو / usr / local / bin / rkhunter - تحقق. [11:21:04] معلومة: قشرة البيئة هي / bin / bash؛ يستخدم rkhunter bash. [11:21:04] معلومات: استخدام ملف التكوين '/etc/rkhunter.conf' [11:21:04] المعلومات: دليل التثبيت هو "/ usr / local" [11:21:04] معلومات: استخدام لغة "en" [11:21:04] معلومات: استخدام '/ var / lib / rkhunter / db' كدليل لقاعدة البيانات. [11:21:04] معلومات: استخدام '/ usr / local / lib64 / rkhunter / scripts' كدليل البرنامج النصي للدعم. [11:21:04] المعلومات: استخدام '/ usr / local / sbin / usr / local / bin / usr / sbin / usr / bin / bin / sbin / usr / libexec / usr / local / libexec' كأدلة الأوامر. [11:21:04] معلومات: استخدام '/ var / lib / rkhunter / tmp' كدليل مؤقت. [11:21:04] المعلومات: لم يتم تكوين عنوان بريد عند التحذير. [11:21:04] المعلومات: سيتم اكتشاف X تلقائيًا. [11:21:04] معلومات: العثور على الأمر "basename": / usr / bin / basename. [11:21:04] معلومة: تم العثور على الأمر "diff": / usr / bin / diff. [11:21:04] معلومات: العثور على أمر 'dirname': / usr / bin / dirname. [11:21:04] معلومات: العثور على الأمر "file": / usr / bin / file. [11:21:04] معلومات: تم العثور على الأمر "find": / usr / bin / find. [11:21:04] معلومات: العثور على الأمر "ifconfig": / usr / sbin / ifconfig. [11:21:04] معلومات: تم العثور على الأمر "ip": / usr / sbin / ip. [11:21:04] معلومات: تم العثور على الأمر "ipcs": / usr / bin / ipcs. [11:21:04] معلومات: تم العثور على الأمر "ldd": / usr / bin / ldd. [11:21:04] معلومة: العثور على الأمر "lsattr": / usr / bin / lsattr ...

لمزيد من المعلومات والخيارات ، يرجى تشغيل الأمر التالي.

# rkhunter - help

إذا أعجبك هذا المقال ، فإن المشاركة هي الطريقة الصحيحة للتعبير عن الشكر.

Teachs.ru