So scannen Sie mit Rkhunter einen Debian-Server nach Rootkits | 15 Quick answer

Das bedeutet Rkhunter Rootkit-Jäger Dies ist ein kostenloser Open-Source-Schwachstellenprüfer für Linux-Betriebssysteme. Es scannt nach Rootkits und anderen potenziellen Schwachstellen, einschließlich versteckter Dateien, falscher binärer Berechtigungen, verdächtiger Kernelketten und so weiter. Es vergleicht SHA-1-Extrakte aus allen lokalen Systemdateien mit bekannten guten Extrakten aus einer Online-Datenbank. Es analysiert auch lokale Systembefehle, Boot-Dateien und Netzwerkschnittstellen zur Überwachung von Diensten und Anwendungen.

Dieses Tutorial erklärt, wie man Rkhunter auf einem Debian 10-Server installiert und verwendet.

Bedarf

• Debian 10-Server.
• Der Server hat ein Root-Passwort.

Installieren und konfigurieren Sie Rkhunter

Standardmäßig ist das Rkhunter-Paket im standardmäßigen Debian 10-Repository verfügbar. Sie können es installieren, indem Sie den folgenden Befehl ausführen:

apt-get set up rkhunter -y

Nachdem die Installation abgeschlossen ist, müssen Sie Rkhunter konfigurieren, bevor Sie das System scannen. Sie können es konfigurieren, indem Sie die Datei /and so on/rkhunter.conf bearbeiten.

nano /and so on/rkhunter.conf

Bearbeiten Sie die folgenden Zeilen:

#Enable the mirror checks.
UPDATE_MIRRORS=1

#Tells rkhunter to make use of any mirror.
MIRRORS_MODE=0

#Specify a command which rkhunter will use when downloading recordsdata from the Internet
WEB_CMD=""

Speichern und schließen Sie die Datei, wenn Sie fertig sind. Überprüfen Sie dann die folgenden Rkhunter-Konfigurationssyntaxfehler:

rkhunter -C

Aktualisieren Sie Rkhunter und erstellen Sie eine Sicherheitsbasis

Sie müssen dann die Datendatei vom Internet-Mirror aktualisieren. Verwenden Sie diesen Befehl zum Aktualisieren:

rkhunter --update

Sie sollten diese Ausgabe erhalten:

[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter information recordsdata...
  Checking file mirrors.dat                                  [ Updated ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ Skipped ]
  Checking file i18n/de                                      [ Skipped ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ Skipped ]
  Checking file i18n/tr.utf8                                 [ Skipped ]
  Checking file i18n/zh                                      [ Skipped ]
  Checking file i18n/zh.utf8                                 [ Skipped ]
  Checking file i18n/ja                                      [ Skipped ]

Überprüfen Sie dann die Rkhunter-Versionsinformationen mit diesem Befehl:

rkhunter --versioncheck

Sie sollten diese Ausgabe erhalten:

[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter model...
  This model  : 1.4.6
  Latest model: 1.4.6

Stellen Sie dann die grundlegende Sicherheitslinie mit diesem Befehl ein:

rkhunter --propupd

Sie sollten diese Ausgabe erhalten:

[ Rootkit Hunter version 1.4.6 ]
File up to date: looked for 180 recordsdata, discovered 140

einen Test machen

Rkhunter ist derzeit installiert und konfiguriert. Es ist an der Zeit, Ihr System auf Sicherheit zu überprüfen. Sie können dies tun, indem Sie den folgenden Befehl ausführen: Werbung

rkhunter --check

Für jede Sicherheitsüberprüfung müssen Sie wie folgt die Eingabetaste drücken:

System checks abstract
=====================

File properties checks...
    Files checked: 140
    Suspect recordsdata: 3

Rootkit checks...
    Rootkits checked : 497
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 2 minutes and 10 seconds

All outcomes have been written to the log file: /var/log/rkhunter.log

One or extra warnings have been discovered whereas checking the system.
Please verify the log file (/var/log/rkhunter.log)

Sie können die Option -sk verwenden, um das Drücken der Eingabetaste zu vermeiden, und nur die Option -rwo in der folgenden Warnung anzeigen:

rkhunter --check --rwo --sk

Sie sollten diese Ausgabe erhalten:

Warning: The command '/usr/bin/egrep' has been changed by a script: /usr/bin/egrep: POSIX shell script, ASCII textual content executable
Warning: The command '/usr/bin/fgrep' has been changed by a script: /usr/bin/fgrep: POSIX shell script, ASCII textual content executable
Warning: The command '/usr/bin/which' has been changed by a script: /usr/bin/which: POSIX shell script, ASCII textual content executable
Warning: The SSH and rkhunter configuration choices must be the identical:
         SSH configuration possibility 'AllowRootLogin': sure
         Rkhunter configuration possibility 'ALLOW_SSH_ROOT_USER': no

Sie können Rkhunter-Protokolle auch mit diesem Befehl überprüfen:

tail -f /var/log/rkhunter.log

Planen Sie einen regelmäßigen Scan mit cron

Wir empfehlen Ihnen, Rkhunter so zu konfigurieren, dass Ihr System regelmäßig überprüft wird. Sie können es konfigurieren, indem Sie die Datei /and so on/default/rkhunter bearbeiten:

nano /and so on/default/rkhunter

Bearbeiten Sie die folgenden Zeilen:

#Perform safety verify day by day
CRON_DAILY_RUN="true"

#Enable weekly database updates.
CRON_DB_UPDATE="true"

#Enable automated database updates
APT_AUTOGEN="true"

Speichern und schließen Sie die Datei, wenn Sie fertig sind.

Fazit

Glückwunsch! Sie haben Rkhunter erfolgreich auf einem Debian 10-Server installiert und konfiguriert. Sie können Rkhunter jetzt regelmäßig verwenden, um Ihren Server vor Malware zu schützen.