Linux: Como proteger o Linux contra RootKits com o rkhunter!

Emanuel Negromonte
Emanuel Negromonte

Provavelmente, o malware mais perigoso que os usuários do GNU/Linux enfrentam é o rootkits. Para lutar contra rootkits e outras possíveis explorações, esta seção mostra como instalar e utilizar o rkhunter. Este programa varre seu desktop para verificar arquivos suspeitos que podem ter sido instalados por um hacker para obter controle do seu computador. Vale lembrar que este mesmo pacote esta disponível em todas as distribuições, ao menos até agora. Hoje, vamos abordar o processo de instalação para Ubuntu, Debian, Linux Mint, Fedora, Mageia, CentOS, Red Hat e derivados.

Instalação e utilização do rkhunter

Algumas distribuições já possuem o pacote rkhunter em seus repositórios, siga o processo de instalação de acordo com a sua distribuição.

Para Ubuntu, Linux Mint, Debian e derivados, execute:

Para instalar o rkhunter, siga estas etapas:
Para navegar de volta para o terminal, selecione Aplicativos > Acessórios > Terminal. Em seguida, cole o comando abaixo:
$ sudo apt install rkhunter
Assim que o rkhunter tiver sido instalado com êxito, você pode executá-lo para verificar várias explorações em seu desktop.
Para iniciar o programa, vá abra o terminal e execute: 
$ sudo rkhunter –check

Se o rkhunter estiver executando apropriadamente, você começa a visualizar uma lista de diretórios com a palavra OK ou Aviso próxima a eles. Quando iniciado, o rkhunter executa vários tipos de varreduras. Após a conclusão de uma varredura, você começa a próxima pressionando Enter.

Os diferentes tipos de varreduras são:
  • Diretórios;
  • Exploram no desktop;
  • Portas que são comumente utilizadas para acesso à porta dos fundos;
  • Arquivos de inicialização, grupos e contas, arquivos de configuração do sistema e o sistema de arquivos;
  • Aplicativos;

Após todas as varreduras serem concluídas, o rkhunter fornece um relatório e cria um arquivo de log com os resultados.

Assim como com o ClamAV, você precisa atualizar o rkhunter regularmente de forma que ele possa detectar as vulnerabilidades e explorações mais recentes:

$ sudo rkhunter –update

EXTRA! Vamos agora instalar e utilizar o chkrootkit!

Embora a maioria do software antivírus não execute apropriadamente junto com um programa antivírus de outra empresa, os caçadores de rootkit executarão simbioticamente com outro. Portanto, para uma proteção mais abrangente, você pode instalar o chkrootkit e executá-lo junto com o rkhunter.

$ sudo apt install chkrootkit
Assim que o chkroot for instalado, você o executará assim como o rkhunter. No terminal, execute:
$ sudo chkrootkit

Para instalar o rkhunter em qualquer distribuição Linux

Este processo de instalação funciona em qualquer distribuição Linux, inclusive nas anteriores que orientamos a instalação. Siga todos os passos para que a instalação ocorra sem erros. Abra um Terminal e execute:

Primeiro vamos entrar no diretório temporário:

$ cd /tmp

Agora, vamos fazer o download do pacote disponibilizado no site oficial do projeto.

$ wget -c https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz

Agora vamos extrair o conteúdo baixado:

$ sudo tar -xvf rkhunter-1.4.6.tar.gz
$ sudo cd rkhunter-1.4.6
$ sudo ./installer.sh –layout default –install

Para atualizar a base do rkhunter através deste processo de instalação, execute:

$ sudo /usr/local/bin/rkhunter –update
$ sudo /usr/local/bin/rkhunter –propupd

Checagem automática do rkhunter via cron

Se você estiver usando o rkhunter em algum servidor ou queira que ele faça checagem diárias automáticas, é possível adicioná-lo ao Cron. Essa etapa não é obrigatória, até porque você pode executar verificações manuais sem nenhum problema:

$ sudo vi /etc/cron.daily/rkhunter.sh

Dentro do arquivo cole o seguinte conteúdo, caso ele não exista, e altere os dados de exemplo, para os reais:

#!/bin/sh
(
/usr/local/bin/rkhunter –versioncheck
/usr/local/bin/rkhunter –update
/usr/local/bin/rkhunter –cronjob –report-warnings-only
) | /bin/mail -s ‘rkhunter Daily Run (ColoqueONomeDoSeuServidorAqui)’ [email protected]

Alterando permissões:

$ sudo chmod 755 /etc/cron.daily/rkhunter.sh

Checagem Manual

Se você optou pela checagem manual o processo também é muito simples, execute:

$sudo rkhunter –check

E para verificar os logs, execute:

$ cat /var/log/rkhunter.log

Caso você precise de ajuda ou queira verificar as possibilidades do rkhunter, execute:

$ rkhunter –help

Conclusão

Quando o chkroot concluir sua varredura, você será levado de volta ao terminal. Se o rkhunter ou o descobrir algo fora do normal, eles simplesmente o informam sobre o possível problema. Nenhum destes programas realmente exclui arquivos do seu computador. Se você for alertado a algo por qualquer um dos programas, pesquise a exploração ou vulnerabilidade que foi relatada e certifique-se de que o que foi localizado não é um positivo falso.

Em seguida, determine as etapas necessárias para eliminar a ameaça. Algumas vezes, você só precisa atualizar o sistema operacional ou outro software. Outras vezes, pode ser necessário localizar um programa enganador e erradicá-lo do seu sistema.

Share This Article
Follow:
Fundador do SempreUPdate. Acredita no poder do trabalho colaborativo, no GNU/Linux, Software livre e código aberto. É possível tornar tudo mais simples quando trabalhamos juntos, e tudo mais difícil quando nos separamos.