Jan 13 2010
Servidores Livres de “Bicharada” Com o RootKit Hunter
Rootkits são sem dúvida muito problemáticos. Este tipo de “bicharada” é difícil de ser detectada pelos anti-vírus mais comuns e são uma praga que pode destruir completamente toda a informação num computador.
Ainda me lembro da primeira e única vez que o meu computador pessoal foi infectado por um rootkit e não foi nada fácil a sua remoção. Felizmente, após algumas horas sem dormir conseguir ver-me livre do problema.
A única diferença é que no computador pessoal rodava o sistema operativo Windows, mas a experiência ficou como que um aviso, não só para melhorar a segurança dos computadores cá de casa, mas também dos servidores Linux.
Felizmente existe uma aplicação chamada RootKit Hunter, uma ferramenta que faz um rastreio completo em busca de rootkits, backdoors e exploits.
A aplicação, lançada sobre uma licença GPL, tem segundo o autor do programa, uma taxa de sucesso de 99.9%.
O rastreio desta ferramenta consiste na combinação dos seguintes processos:
- Comparação de hash MD5
- Procura por ficheiros usados habitualmente por rootkits
- Permissões erradas em ficheiros
- Pesquisa por linhas de texto suspeitas em módulos LKM e KLD
- Busca por ficheiros escondidos
- Rastreio opcional de texto e ficheiros binários
Se ainda não têm nos vossos servidores esta ferramenta indispensável, então este é o momento de proceder à instalação.
Vou instalar da fonte, porque os pacotes existentes para CentOS estão bastante desactualizados.
Façam o download do ficheiro. Neste exemplo uso a versão mais recente, no entanto consultem a página do projecto em http://sourceforge.net/projects/rkhunter/files/ para verificarem a última versão.
wget http://garr.dl.sourceforge.net/project/rkhunter/rkhunter/1.3.6/rkhunter-1.3.6.tar.gz tar zxf rkhunter-1.3.6.tar.gz cd rkhunter-1.3.6
O RootKit Hunter vem com um script shell para fácil instalação e tem mesmo alguns parâmetros opcionais.
Podem verificar as várias opções para o layout da instalação com o seguinte comando:
./installer.sh --examples
Existe ainda um comando de ajuda:
./installer.sh --help
Como estou a instalar em CentOS, vou definir o layout que instala a aplicação em /usr/bin
./installer.sh --layout /usr --install
A aplicação é rapidamente instalada, mas posteriormente e antes de corrermos o programa pela primeira vez, o programa precisa de preparar as bases de dados, para isso executamos o seguinte comando:
rkhunter --propupdFeito isto podemos dar início ao primeiro rastreio:
rkhunter --checkIgualmente importante é manter a aplicação actualizada com as mais recentes definições de malware, portanto antes de iniciarem os próximos rastreios, executem o seguinte comando:
rkhunter --updateAconselho-vos ainda a criarem um cron job para um rastreio diário. Para tal criamos um pequeno script em bash.
nano /etc/cron.daily/rkhunter.sh
Copiar e colar:
#!/bin/bash # Rastreio do RootKit Hunter /usr/bin/rkhunter --update (/usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "[rkhunter] Resultados do Rastreio" email@dominio.com)
Substituam apenas email@dominio.com com o vosso endereço de email, de preferência um endereço de email fora do servidor.
Finalmente, tornamos o ficheiro executável:
chmod +x /etc/cron.daily/rkhunter.sh
Esta é mais uma forma de manterem os vossos sistemas seguros contra este tipo de crime.
Não perca os meus artigos! Subscreva a minha feed RSS.
