use on php tage session_name("laravel_session"); session_start(); $_SESSION['laravel_session'] = '60496c0795af2c5a1851100f52f34ccf3c692279+SFqbxMoR1OsEMJsYnZ11ANbTYFp8HmihXoDEaD6O';
Linux

Охота на коварняжек в Linux с помощью rkhunter

Vadim Belous

2 min read
Охота на коварняжек в Linux с помощью rkhunter

Rkhunter - сканер кибербезопасности, предназначенный для обнаружения артефактов, оставленных злоумышленниками в системе

В контексте своей работы инструмент выполняет проверки целостности системных утилит, ищет вредоносные программы, включая поиск на основе сигнатур, и проверяет системные конфигурации, которые могли быть изменены злоумышленниками для компрометации системы

Инструмент можно поставить как с помощью пакетного менеджера, так и скачав архив с исходным кодом. Утилита написана на perl и sh, поэтому никакие дополнительные зависимости не потребуются. Программу можно запустить даже в минимальном Alpine Linux(это стало доступно только в текущей версии 1.4.6 от 20.02.2018)

Держать такую вундервафлю необходимо всегда обновлённой, чтобы БД с сигнатурами не прокисла. Иначе теряется некоторый профит. Соответственно, уменьшается результативность использования

Проверьте версию вашей уставновки rkhunter

rkhunter -V

Если устарела, то обновите

sudo rkhunter --update

Но лично мне rkhunter на просьбу обновиться вывел сообщение об ошибке

Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"

Поэтому я быстренько загуглил и выяснил как поставить тумблеры в нужное положение

А именно отредактируйте /etc/rkhunter.conf согласно инструкции:

  • MIRRORS_MODE=1 -> MIRRORS_MODE=0
  • UPDATE_MIRRORS=0 -> UPDATE_MIRRORS=1
  • WEB_CMD="/bin/false" -> WEB_CMD=""

Теперь команды с флагами --versioncheck и --update должны срабатывать как надо

Также путём редактирования /etc/rkhunter.conf можно уменьшить количество false positive (ложных срабатываний) при сканировании. Например, если для вас заходить на сервер по SSH от рута это нормально, то измените значения параметра ALLOW_SSH_ROOT_USER на yes

Аларте Аскендаре! Запустите сканирование, чтобы проверить вашу систему на наличие коварняжек и шалунишек. Возможно она уже взломана, но лишним это всё равно не будет 😁

sudo rkhunter --check

Во время манипуляций программы придётся зачем-то нажимать Enter. Попутно rkhunter также будет выплёвывать на экран результаты своей деятельности и в конце работы уведомит, что все результаты записались в /var/log/rkhunter.log

Итогом сканирования моей системы стали результаты:

  • 0 подозрительных файлов из 142
  • 0 руткитов из 498

Результат оказался вполне ожидаемым

Для ежедневного сканирования на коварняжки можно создать задачу в cron'e

Выполните crontab -e и впишите следующую команду

@daily /usr/bin/rkhunter --cronjob --update --quiet

Но я предлагаю более изящное решение - использовать systemd таймер вместо задачи в cron'e. Такое предложение отлично подойдёт вам, если вы не являетесь адептом какой-либо другой системы инициализации

Создайте сервис rkhunter.service

[Unit]
Description=rkhunter

[Service]
Type=oneshot
ExecStart=/usr/bin/rkhunter --cronjob --update --quiet

И таймер rkhunter.timer

[Unit]
Description=Daily timer for rkhunter scan

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target

На выходе должно получиться два файла: /etc/systemd/system/rkhunter.service и /etc/systemd/system/rkhunter.timer

После выполните

sudo systemctl daemon-reload
sudo systemctl enable rkhunter.timer
sudo systemctl start rkhunter.timer

И systemctl list-timers --all, чтобы удостовериться в том, что таймер активирован и запланирован на ежедневное выполнение

Итог: rkhunter установлен и может быть поможет найти артефакты, которые некомпетентные злоумышленники оставили после атаки на вашу систему

Disclaimer: Автор сайта не несёт ответственность за неправомерные действия, совершенные на основе изложенного контента

Также этот пост можно посмотреть в телеграм канале Unauth Papaya по ссылке