RKHunterのインストールと使用のチュートリアル

検出例:

[oot@mste khunte-.4.6]# khunte -c [ Rootkit Hunte バージョン .4.6 ] システムコマンドをチェックしています... 'stings' コマンドチェックを実行しています 'stings' コマンドをチェックしています [ OK ] 'shed libies' チェックを実行していますロード可能なファイルをチェックしています [ 何も見つかりません ] ロード可能なファイルをチェックしています [ 何も見つかりません ] LD_LIBRARY_PATH チェックを実行しています [ 見つかりません ] ファイルプロパティチェックを実行しています要件をチェックしています [ Wning ] /us/locl/bin/khunte [ OK ] /us/sbin/dduse [ OK ] /us/sbin/chkconfig [ OK ] /us/sbin/choot [ OK ] /us/sbin/depmod [ OK ] /us/sbin/fsck [ OK ] /us/sbin/goupdd [ OK ] [ OK ] /us/sbin/modpobe [ OK ] /us/sbin/nologin [ OK ] /us/sbin/pwck [ OK ] /us/sbin/mmod [ OK ] /us/sbin/oute [ OK ] /us/sbin/syslogd [ OK ] /us/sbin/unleel [ OK ] /us/sbin/sesttus [ OK ] [ OK ] /us/bin/sshd [ OK ] /us/sbin/sulogin [ OK ] /us/sbin/sysctl [ OK ] /us/sbin/usedd [ OK ] /us/sbin/usedel [ OK ] /us/sbin/usemod [ OK ] /us/sbin/ipw [ OK ] /us/bin/wk [ OK ] /us/bin/bsenme [ OK ] /us/bin/bsh [ OK ] /us/bin/ct [ OK ] /us/bin/chtt [ OK ] /us/bin/chmod [ OK ] /us/bin/chown [ OK ] /us/bin/cp [ OK ] /us/bin/cul [ OK ] /us/bin/cut [ OK ] /us/bin/dte [ OK ] /us/bin/df [ OK ] /us/bin/diff [ OK ] /us/bin/dinme [ OK ] /us/bin/dmesg [ OK ] /us/bin/du [ OK ] /us/bin/echo [ OK ] /us/bin/egep [ 出力 ] /us/bin/en [ OK ] /us/bin/fgep [ 出力 ] /us/bin/file [ OK ] /us/bin/find [ OK ] /us/bin/gep [ OK ] /us/bin/goups [ OK ] /us/bin/hed [ OK ] /us/bin/id [ OK ] /us/bin/ipcs [ OK ] /us/bin/kill [ OK ] /us/bin/lst [ OK ] /us/bin/lstlog [ OK ] /us/bin/ldd [ 出力 ] /us/bin/less [ OK ] /us/bin/logge [ OK ] /us/bin/login [ OK ] /us/bin/ls [ OK ] /us/bin/lstt [ OK ] [ OK ] /us/bin/md5sum [ OK ] /us/bin/mktemp [ OK ] /us/bin/moe [ OK ] /us/bin/mount [ OK ] /us/bin/m [ OK ] /us/bin/netstt [ OK ] /us/bin/newgp [ OK ] /us/bin/psswd [ OK ] /us/bin/pel [ OK ] /us/bin/pgep [ OK ] /us/bin/ping [ OK ] /us/bin/pkill [ OK ] /us/bin/ps [ OK ] /us/bin/pwd [ OK ] /us/bin/edlink [ OK ] /us/bin/pm [ OK ] /us/bin/uncon [ OK ] /us/bin/sed [ OK ] /us/bin/sh [ OK ] /us/bin/shsum [ OK ] /us/bin/sh224sum [ OK ] /us/bin/sh256sum [ OK [ OK ] /us/bin/sh384sum [ OK ] /us/bin/sh52sum [ OK ] /us/bin/size [ OK ] /us/bin/sot [ OK ] /us/bin/ssh [ OK ] /us/bin/stt [ OK ] /us/bin/stce [ OK ] /us/bin/stings [ OK ] /us/bin/su [ OK ] /us/bin/sudo [ OK ] /us/bin/til [ OK ] /us/bin/telnet [ OK ] /us/bin/test [ OK ] /us/bin/top [ OK ] /us/bin/touch [ OK ] /us/bin/t [ OK ] /us/bin/unme [ OK ] /us/bin/uniq [ OK ] /us/bin/uses [ OK ] /us/bin/mstt [ OK ] /us/bin/w [ OK ] /us/bin/wtch [ OK ] : /us/bin/wc [ OK ] /us/bin/wget [ OK ] /us/bin/whtis [ OK ] /us/bin/wheeis [ OK ] /us/bin/which [ OK ] /us/bin/who [ OK ] /us/bin/whomi [ OK ] /us/bin/numfmt [ OK ] /us/bin/kmod [ OK ] /us/bin/systemctl [ OK ] /us/bin/gwk [ OK ] /us/lib/systemd/systemd [ OK ] /etc/khunte.conf [ OK ] [続行するには<ENTER>を押してください] ルートキットをチェックしています... 既知のルートキットファイルとディレクトリのチェックを実行しています 55808 Tojn - Vint A [ 見つかりません ] ADM Wom [ 見つかりません ] AjKit Rootkit [ 見つかりません ] Adoe Rootkit [ 見つかりません ] P Kit [ 見つかりません ] ] APCHE WOM [発見されていない] RootKit [見つかりません] Blu rootKit [見つかりません] BEX2 rootKit [見つかりません] Bobkit rootkit [見つかりません] Cinik wome（slppe.b int）rootkitそれはrootkit [見つかりません] dems rootkit [見つかりません] duwkz rootkit [見つかりません] ebuy bckdoo [見つかりません] enye lkm ] ignoKit Rootkit [ 見つかりません ] IntoXoni-NG Rootkit [ 見つかりません ] Iix Rootkit [ 見つかりません ] Jynx Rootkit [ 見つかりません ] Jynx2 Rootkit [ 見つかりません ] KBest Rootkit [ 見つかりません ] Kitko Rootkit [ 見つかりません ] Knk Rootkit [ 見つかりません ] ld-linux.so Rootkit [ 見つかりません ] Li0n Wom [ 見つかりません ] Lockit / LJK2 Rootkit [ 見つかりません ] Mokes bckdoo [ 見つかりません ] Mood-NT Rootkit [ 見つかりません ] MRK Rootkit [ 見つかりません ] Ni0 Rootkit [ 見つかりません ] Ohh Rootkit [ 見つかりません ] Optic Kit (Tux) Wom [ 見つかりません ] Oz Rootkit [ 見つかりません ] Phlnx Rootkit [ 見つかりません ] Phlnx2 Rootkit [ 見つかりません ] Phlnx2 Rootkit ] 'Spnish' ルートキット [ 見つかりません ] Suckit ルートキット [ 見つかりません ] Supekit ルートキット [ 見つかりません ] TBD (Telnet BckDoo) [ 見つかりません ] TeLeKiT ルートキット [ 見つかりません ] T0n ルートキット [ 見つかりません ] tNkit ルートキット [ 見つかりません ] Tojnit キット [ 見つかりません ] Tuxtendo Rootkit [見つかりません] URK Rootkit [見つかりません] Vmpie Rootkit [見つかりません] VcKit Rootkit [見つかりません] Volc Rootkit [見つかりません] Xzibit Rootkit [見つかりません] zRwT.KiT Rootkit [見つかりません] ZK Rootkit [見つかりません] [続行するには<ENTER>を押してください] 追加のルートキットチェックを実行しています Suckit Rootkit 追加のルートキットチェックを実行しています [OK] 可能性のあるルートキットファイルとディレクトリをチェックしています [見つかりません] 可能性のあるルートキットストリングをチェックしています [見つかりません] 追加のルートキットチェックを実行しています疑わしいファイルの実行プロセスをチェックしています [見つかりません] ログインバックドアをチェックしています [見つかりません] スニッフィログファイルをチェックしています [見つかりません] 疑わしいディレクトリをチェックしています [見つかりません] 疑わしい (長い) シェッドメモリをチェックしていますセグメント[なし] bckdooのチェック[見つかりません] pefoming linux特定のチェックは、Kenelモジュールのチェック[OK] [OK] [PESS <Enter>] Netwok ... intefces [none wund] loclホストのチェック... fo loclホストnmeのチェック[Fund] fo system sttupファイル[見つかった]システムsttupファイルのチェック[なし] goup nd ccountチェック見つかった] その他の疑わしい構成設定をチェックしています [ 見つかりません ] システムログデーモンをチェックしています [ 見つかりました ] システムログ設定ファイルをチェックしています [ 見つかりました ] syslog メッセージのログ記録が許可されているかどうかをチェックしています [ 許可されていません ] ファイルシステムチェックを実行しています疑わしいファイルタイプを /de でチェックしています [ 失敗 ] 隠しファイルとディレクトリをチェックしています [ 失敗 ] [続行するには <ENTER> を押してください] システムチェックが成功しました======================= ファイルプロパティチェック中... 必要なコマンドチェック済みチェックしたファイル: 27 疑わしいファイル: 5 ルートキットチェック中... チェックしたルートキット: 496 可能性のあるルートキット: 0 アプリケーションチェック中... すべてのチェックをスキップシステムチェックにかかった時間: 5 分 43 秒すべての結果はログファイルに記録されています: //log/khunte.log システムチェック中に 1 つのイベントが見つかりました。ログファイルを確認してください (//log/khunte.log)

解釈: 各テスト結果が強調表示され、緑は正常、赤は注意が必要であることを意味します。上記のテストでは、ユーザーの操作が必要で、「Enter」を入力します。Rsk オプションを使用して自動化できます。

[oot@mste khunte-.4.6]# khunte Rcheck Rskip-keypess

3. 定期的な検出

Linux ターミナルは検出に khunte を使用します。最大の利点は、各テスト結果が異なる色で表示されることです。緑であれば問題がないことを意味します。赤であれば注意が必要です。また、上記の検出プロセス中、検出の各部分が完了したら、Enter キーを押して続行する必要があります。プログラムを自動的に実行したい場合は、次のコマンドを実行できます。

30 09 * * * oot /us/locl/bin/khunte –check –conjob

解釈: クンテ検出プログラムは毎日 9:30 に 1 回実行されます。

4. セキュリティアップデート

脆弱性があるかどうかをテストするには、次のコマンドを実行します。

$ en x='() { :;}; echo ulneble̻ bsh -c “echo this is test̶
ウルネブル
これはテストです

上記のように表示された場合は、残念ながら、すぐにセキュリティパッチを適用して修正する必要があります。

一時的な解決策は次のとおりです。

yum -y アップデート bsh

bsh をアップグレードした後、テストを実行します。

$ en x='() { :;}; echo ulneble̻ bsh -c “echo this is test̶
bsh: wning: x: 関数定義を無視する
bsh: eo 関数定義を `x̻ にインポートする
これはテストです

上記のように表示される場合は、脆弱性が修正されたことを意味します。

RKHunte は、システムが ootkit に感染しているかどうかを検出するための専門的なツールです。RKHunte は、一連のスクリプトを実行することで、サーバーが ootkit に感染しているかどうかを確認できます。この記事では主にRKHunteのインストールと使用方法のチュートリアルご参考までに。

RKHunte をインストールします (ダウンロードアドレス: https://soucefoge.net/pojects/khunte/files/ltest/downlod)

[oot@see ~]# t -zxf khunte-.4.6.t.gz #バージョンは異なるかもしれませんが、コマンドは同じです
[oot@see ~]# cd khunte-.4.6
[oot@see khunte-.4.6]# ./instlle.sh デフォルトの Rlyout インストール

注: RKHunteのデフォルトのインストールディレクトリは/us/locl/binです。

2. RKHunteの共通パラメータのリスト

パラメータ

意味

-c、再チェック

現在のシステムの検出を示す必須パラメータ

Rconfigfile <ファイル>

特定の設定ファイルを使用する

Rコンジョブ

定期的にコンタスクとして実行する

Rsk、Rskipキー押下

すべての検出を自動的に完了し、キーボード入力をスキップします