Rootkit Hunter (rkhunter) adalah alat berbasis Unix yang memindai rootkit, backdoors dan kemungkinan eksploitasi lokal. Rootkit adalah toolkit menyembunyikan diri yang diam-diam diinstal oleh penyusup jahat untuk memungkinkan pengguna mendapatkan akses ke server.
Rootkit Hunter menawarkan perlindungan dengan membandingkan hash SHA-1 dari file-file penting dengan yang baik yang diketahui dalam database online serta:
- Pembandingan MD5 hash
- Pencarian file default yang digunakan oleh rootkit
- Pengizinan file yang salah untuk binari
- Pencarian string yang dicurigai dalam modul LKM dan KLD
- Pencarian file yang tersembunyi
- Pemindaian opsional dalam file plaintext dan biner
Panduan ini menjelaskan cara menginstal dan mengkonfigurasi RKHunter pada CentOS 5,6 atau 7.
Instalasi Rootkit Hunter
Instal Repositori EPEL
# yum install epel-release
Instalasi Rootkit Hunter
# yum -y install rkhunter
Pembaharuan Database
# rkhunter --update
Pembaharuan Sistem file properti
# rkhunter --propupd
Membuat File Cron
# nano -w /etc/cron.daily/rkhunter.sh
Masukkan Script Shell
#!/bin/sh ( /usr/local/bin/rkhunter --versioncheck /usr/local/bin/rkhunter --update /usr/local/bin/rkhunter --cronjob --report-warnings-only ) | /bin/mail -s 'rkhunter Daily Scan Report (NamaServer)' [email protected]
Memberikan Hak Akses Cron Job
# chmod 755 /etc/cron.daily/rkhunter.sh
Konfigurasi Rootkit Hunter
# nano /etc/rkhunter.conf
Konfigurasi Pemberitahuan Email
# MAIL-ON-WARNING="[email protected]" # MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
SSH Root Login
# ALLOW_SSH_ROOT_USER=unset
diganti
# ALLOW_SSH_ROOT_USER=yes
File skrip daftar putih yang dikenal
SCRIPTWHITELIST="/usr/bin/ldd" SCRIPTWHITELIST="/bin/which"
Pemindaian Manual
# rkhunter -c
Yang menjalankan rkhunter dalam mode interaktif. Dengan kata lain, ketika sampai pada akhir pemindaian tertentu, Anda perlu menekan ‘enter’ untuk melanjutkan. Jika Anda ingin “interaktif otomatis” mode interaktif, tambahkan opsi -sk di akhir:
# rkhunter -c -sk
Selamat Mencoba