Linux: Como proteger o Linux contra RootKits com o rkhunter!

Provavelmente, o malware mais perigoso que os usuários do GNU/Linux enfrentam é o rootkits. Para lutar contra rootkits e outras possíveis explorações, esta seção mostra como instalar e utilizar o rkhunter. Este programa varre seu desktop para verificar arquivos suspeitos que podem ter sido instalados por um hacker para obter controle do seu computador. Vale lembrar que este mesmo pacote esta disponível em todas as distribuições, ao menos até agora. Hoje, vamos abordar o processo de instalação para Ubuntu, Debian, Linux Mint, Fedora, Mageia, CentOS, Red Hat e derivados.

Instalação e utilização do rkhunter

Algumas distribuições já possuem o pacote rkhunter em seus repositórios, siga o processo de instalação de acordo com a sua distribuição.

Para Ubuntu, Linux Mint, Debian e derivados, execute:

Se o rkhunter estiver executando apropriadamente, você começa a visualizar uma lista de diretórios com a palavra OK ou Aviso próxima a eles. Quando iniciado, o rkhunter executa vários tipos de varreduras. Após a conclusão de uma varredura, você começa a próxima pressionando Enter.

• Diretórios;
• Exploram no desktop;
• Portas que são comumente utilizadas para acesso à porta dos fundos;
• Arquivos de inicialização, grupos e contas, arquivos de configuração do sistema e o sistema de arquivos;
• Aplicativos;

Após todas as varreduras serem concluídas, o rkhunter fornece um relatório e cria um arquivo de log com os resultados.

Assim como com o ClamAV, você precisa atualizar o rkhunter regularmente de forma que ele possa detectar as vulnerabilidades e explorações mais recentes:

EXTRA! Vamos agora instalar e utilizar o chkrootkit!

Embora a maioria do software antivírus não execute apropriadamente junto com um programa antivírus de outra empresa, os caçadores de rootkit executarão simbioticamente com outro. Portanto, para uma proteção mais abrangente, você pode instalar o chkrootkit e executá-lo junto com o rkhunter.

Para instalar o rkhunter em qualquer distribuição Linux

Este processo de instalação funciona em qualquer distribuição Linux, inclusive nas anteriores que orientamos a instalação. Siga todos os passos para que a instalação ocorra sem erros. Abra um Terminal e execute:

Primeiro vamos entrar no diretório temporário:

Agora, vamos fazer o download do pacote disponibilizado no site oficial do projeto.

Agora vamos extrair o conteúdo baixado:

Para atualizar a base do rkhunter através deste processo de instalação, execute:

Checagem automática do rkhunter via cron

Se você estiver usando o rkhunter em algum servidor ou queira que ele faça checagem diárias automáticas, é possível adicioná-lo ao Cron. Essa etapa não é obrigatória, até porque você pode executar verificações manuais sem nenhum problema:

Dentro do arquivo cole o seguinte conteúdo, caso ele não exista, e altere os dados de exemplo, para os reais:

Alterando permissões:

Checagem Manual

Se você optou pela checagem manual o processo também é muito simples, execute:

E para verificar os logs, execute:

Caso você precise de ajuda ou queira verificar as possibilidades do rkhunter, execute:

Conclusão

Quando o chkroot concluir sua varredura, você será levado de volta ao terminal. Se o rkhunter ou o descobrir algo fora do normal, eles simplesmente o informam sobre o possível problema. Nenhum destes programas realmente exclui arquivos do seu computador. Se você for alertado a algo por qualquer um dos programas, pesquise a exploração ou vulnerabilidade que foi relatada e certifique-se de que o que foi localizado não é um positivo falso.

Em seguida, determine as etapas necessárias para eliminar a ameaça. Algumas vezes, você só precisa atualizar o sistema operacional ou outro software. Outras vezes, pode ser necessário localizar um programa enganador e erradicá-lo do seu sistema.