تنصيب و إستعمال rkhunter لفحص الخوادم من خلو rootkits

قبل شرح rkhunter سنقوم بشرح rootkits . عند اختراق شخص لنضام تشغيل وحصوله على صلاحيات عالية فيه ولضمان رجوعه يقوم بتنصيب أدوات لذالك الغرض في النظام المخترق ولذالك rootkits هي كلمتان root و kits.
Rkhunter أو (Rootkit Hunter) هو ادات مفتوحة المصدر تستعمل خوارزمية md5 للفحص وكشف عن وجود rootkits وهذا جد مهم في حواسيب خادمة لضمان خلوها من أي استغلال من طرف اختراق تم التعرض له الخادم في الأونة الأخيرة وتنصيب أدوات الرجوع rootkits
الشرح سيضم شرح على دبيان بدون استعمال المستودعات لذالك يمكن استعماله لأبونتو أو أي توزيعة أخرى

التنصيب

نقوم بتحميل أخير نسخة من الموقع
# wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.3.8/rkhunter-1.3.8.tar.gz
إزالت الضغط على الملف
# tar -xvzf rkhunter-1.3.8.tar.gz
دخول المجلد المنشئ من إزالت الضغط
# cd rkhunter-1.3.8
تنصيب
# ./installer.sh --install

تحديث

علينا قبل الفحص تحديث قواعد البينات التي يستخدمها
# rkhunter --update
وتحديث مكان الملفات التي سيقوم بفحصها
# rkhunter --propupd

فحص

# rkhunter -c
والخارج النهائي يكون
System checks summary
=====================
File properties checks...
Files checked: 137
Suspect files: 4
Rootkit checks...
Rootkits checked : 245
Possible rootkits: 0
Applications checks...
Applications checked: 6
Suspect applications: 3

في الحقيقة كانت تجربة ليست نهائية لذالك لنكمل
فتح الملف
# vim /etc/rkhunter.conf
وتغيير
إذا أردت أن يصلك بريد يخبرك بالنتائج
MAIL-ON-WARNING="[email protected]"
إذا كنت تترك الباب مفتح لدخول root ب ssh
ALLOW_SSH_ROOT_USER=yes
لإخفاء إنذار غير حقيقي بوجود ملفات مخفية ازالة # على
ALLOWHIDDENDIR="/dev/.udev /dev/.udevdb /dev/.udev.tdb"
ALLOWHIDDENDIR="/dev/.initramfs"

في نسخة دبيان يوجد أحد bug لإنذار خاطئ و حله إضافت
RTKT_FILE_WHITELIST="/etc/init.d/.depend.boot /etc/init.d/checkroot.sh /etc/init.d/bootlogd /etc/init.d/hdparm"
ولإخفاء نتائج غير حقيقية لتطبيقات لم يم يتم تحديثها لأخر نسخة
APP_WHITELIST="openssl:0.9.8o gpg sshd:5.5p1"

انتهينا ولإعادة الفحص و قبل ذالك
# rkhunter --propupd
وللفحص نستعمل على حسب نوع التوزيعة
# rkhunter --check --pkgmgr dpkg
أو
# rkhunter --check --pkgmgr rpm
وهناك أوامر أخرى مثل البحث عن نسخة جديدة
rkhunter --versioncheck
ولإضهار التفاصيل
# rkhunter --cronjob --report-warnings-only --pkgmgr dpkg
تحياتي

محمد حنين

الإسم الكامل محمد حنين أحد geek من أمد طويل ، مطور ويب، محب للحرية، مستعمل نضام لينوكس، وأخيرا مجرم باللغة العربية للأسف في وقتها. معلومات أكثر عني أو الإتصال بي Mohammed Hanine

You may also like...

4 تعليقات

  1. يقول root3ksa:

    يعطيك العافية أخوي محمد

  2. يقول ناجي:

    الله يوفقك يا محمدحنين

    والله مواضيعك حلوة والشرح أحلى

    يعطيك العافية

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *