Scan Backdoor dan Rootkit di Linux dengan Rootkit Hunter

Tuesday, July 17, 2018

rkhunter (Rootkit Hunter) adalah tool berbasis Unix untuk memindai rootkit, backdoor, dan kemungkinan local exploit. Hal ini dilakukan dengan membandingkan hash SHA-1 dari file-file penting dengan yang dikenal baik dalam database online, mencari direktori default ( atau rootkit), perizinan file yang salah, file tersembunyi, string yang mencurigakan dalam modul kernel, dan tes khusus untuk Linux dan FreeBSD.

Tool ini ditulis dalam Bourne shell, untuk memungkinkan portabilitas serta dapat berjalan di hampir semua sistem yang diturunkan UNIX.


Cara Kerja
Seperti yang sudah tertulis diatas, cara kerja dari tool ini adalah dengan mengecek hash dari file binary dan mencocokkan dengan database online. Selain itu tool ini juga akan melakukan scanning terhadap rootkit yang kemungkinan terpasang. Rootkit Hunter sendiri bisa mengenali rootkit di daftar berikut:
  • 55808 Trojan - Variant A  
  • ADM Worm 
  • AjaKit Rootkit   
  • Adore Rootkit
  • aPa Kit  
  • Apache Worm  
  • Ambient (ark) Rootkit 
  • Balaur Rootkit   
  • BeastKit Rootkit 
  • beX2 Rootkit 
  • BOBKit Rootkit   
  • cb Rootkit   
  • CiNIK Worm (Slapper.B variant)
  • Danny-Boy's Abuse Kit 
  • Devil RootKit
  • Diamorphine LKM  
  • Dica-Kit Rootkit 
  • Dreams Rootkit   
  • Duarawkz Rootkit 
  • Ebury backdoor   
  • Enye LKM 
  • Flea Linux Rootkit
  • Fu Rootkit   
  • Fuck`it Rootkit  
  • GasKit Rootkit   
  • Heroin LKM   
  • HjC Kit  
  • ignoKit Rootkit  
  • IntoXonia-NG Rootkit  
  • Irix Rootkit 
  • Jynx Rootkit 
  • Jynx2 Rootkit
  • KBeast Rootkit   
  • Kitko Rootkit
  • Knark Rootkit
  • ld-linuxv.so Rootkit  
  • Li0n Worm
  • Lockit / LJK2 Rootkit 
  • Mokes backdoor   
  • Mood-NT Rootkit  
  • MRK Rootkit  
  • Ni0 Rootkit  
  • Ohhara Rootkit   
  • Optic Kit (Tux) Worm  
  • Oz Rootkit   
  • Phalanx Rootkit  
  • Phalanx2 Rootkit 
  • Phalanx2 Rootkit (extended tests) 
  • Portacelo Rootkit
  • R3dstorm Toolkit 
  • RH-Sharpe's Rootkit   
  • RSHA's Rootkit   
  • Scalper Worm 
  • Sebek LKM
  • Shutdown Rootkit 
  • SHV4 Rootkit 
  • SHV5 Rootkit 
  • Sin Rootkit  
  • Slapper Worm 
  • Sneakin Rootkit  
  • 'Spanish' Rootkit
  • Suckit Rootkit   
  • Superkit Rootkit 
  • TBD (Telnet BackDoor) 
  • TeLeKiT Rootkit  
  • T0rn Rootkit 
  • trNkit Rootkit   
  • Trojanit Kit 
  • Tuxtendo Rootkit 
  • URK Rootkit  
  • Vampire Rootkit  
  • VcKit Rootkit
  • Volc Rootkit 
  • Xzibit Rootkit   
  • zaRwT.KiT Rootkit
  • ZK Rootkit


Cara Install
Jika kalian pengguna Kali Linux, Rootkit Hunter sudah tersedia di repository. Bisa diinstall dengan perintah
sudo apt-get update && duso apt-get install rkhunter

Sementara jika ingin install dari source, berikut perintahnya:
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -xvf rkhunter-1.4.6.tar.gz
cd rkhunter-1.4.6
./installer.sh --layout default --install

Untuk beberapa opsi install lain bisa dilihat dengan perintah
./install --help
Cara Menggunakan Rootkit Hunter
Untuk cara scan nya gampang sih. cukup jalankan perintah
rkhunter --check
Contoh output:

[ Rootkit Hunter version 1.4.6 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ Warning ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/cron                                           [ OK ]
    /usr/sbin/groupadd                                       [ OK ]
    /usr/sbin/groupdel                                       [ OK ]
    /usr/sbin/groupmod                                       [ OK ]
    /usr/sbin/grpck                                          [ OK ]
    /usr/sbin/nologin                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/rsyslogd                                       [ OK ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    /usr/sbin/usermod                                        [ OK ]
    /usr/sbin/vipw                                           [ OK ]
    /usr/sbin/unhide                                         [ OK ]
    /usr/sbin/unhide-linux                                   [ OK ]
    /usr/sbin/unhide-posix                                   [ OK ]
    /usr/sbin/unhide-tcp                                     [ OK ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/curl                                            [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/dpkg                                            [ OK ]
    /usr/bin/dpkg-query                                      [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/env                                             [ OK ]
    /usr/bin/file                                            [ OK ]
    /usr/bin/find                                            [ OK ]
    /usr/bin/groups                                          [ OK ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/ipcs                                            [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ OK ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/locate                                          [ OK ]
    /usr/bin/logger                                          [ OK ]
    /usr/bin/lsattr                                          [ OK ]
    /usr/bin/lsof                                            [ OK ]
    /usr/bin/lynx                                            [ OK ]
    /usr/bin/mail                                            [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/mlocate                                         [ OK ]
    /usr/bin/newgrp                                          [ OK ]
    /usr/bin/passwd                                          [ OK ]
    /usr/bin/perl                                            [ OK ]

Opsi perintah lain bisa di cek
rkhunter --help

Nah kalian juga bisa melakukan scan secara berkala dan mengirim laporan ke email. Hal ini tentu sangat berguna jika diimplementasikan di server. Cukup modifikasi file /etc/cron.daily/rkhunter dan ubah email dengan alamat email kalian.

Ya tentu saja di server tersebut fungsi mail harus aktif.

Oke mungkin sekian tutorial singkat kali ini. Semoga bermanfaat. Jika ada yang kurang jelas silahkan ditanyakan.

Artikel Terkait Linux ,Security

No comments:

Post a Comment