RKHunter: Rootkit Aşkar Etmə Aləti
Giriş
RKHunter (Rootkit Hunter) Linux və Unix əsaslı sistemlərdə rootkitlər, gizli zərərli proqramlar, backdoor-lar, trojan-lar və digər təhlükəli komponentləri aşkar etmək üçün istifadə olunan açıq mənbəli təhlükəsizlik alətidir.
RKHunter əsasən sistem administratorları və kibertəhlükəsizlik mütəxəssisləri tərəfindən istifadə olunur. Alət md5sums, şübhəli fayl icazələri, zərərli faylların mövcudluğu, gizli proseslər, şəbəkə portları, sistem parametrləri və digər vacib göstəricilər üzərindən skan aparır.
1. RKHunter-in Yüklənməsi və Quraşdırılması
RKHunter Linux əsaslı əməliyyat sistemlərində işləyir və bir çox distributivlər üçün paket menecerlərində mövcuddur.
1.1. Debian/Ubuntu Üzərində Quraşdırma
Əgər Debian və ya Ubuntu istifadə edirsinizsə, RKHunter-i aşağıdakı əmrlə quraşdıra bilərsiniz:
sudo apt update
sudo apt install rkhunter
1.2. CentOS/RHEL/Fedora Üzərində Quraşdırma
Red Hat əsaslı sistemlər üçün:
sudo yum install epel-release
sudo yum install rkhunter
Fedora üçün:
sudo dnf install rkhunter
1.3. Kaynak Koddan (Source) Quraşdırma
Ən son versiyanı mənbə kodundan qurmaq üçün:
wget https://sourceforge.net/projects/rkhunter/files/latest/download -O rkhunter.tar.gz
tar -xvzf rkhunter.tar.gz
cd rkhunter-*
sudo ./installer.sh --install
Quraşdırmadan sonra RKHunter-i yeniləmək üçün:
sudo rkhunter --update
2. RKHunter-in İstifadəsi
Əsas skan sintaksisi:
sudo rkhunter --check
Bu əmrlə sistemdə rootkitlər və digər təhlükəli komponentlər üçün yoxlama aparılır.
Əgər təsdiq istəmədən (non-interactive mode) çalışdırmaq istəyirsinizsə:
sudo rkhunter --check --sk
Burada:
--check→ Bütün təhlükəsizlik yoxlamalarını yerinə yetirir.--sk→ Təsdiq istənmədən skan etməyə imkan verir.
3. RKHunter-in Əsas Funksiyaları
RKHunter müxtəlif təhlükəsizlik yoxlamaları apara bilər:
| Əməliyyat | Əmr |
|---|---|
| Rootkitlər üçün yoxlama | sudo rkhunter --check |
| Bütün imzaları yeniləmək | sudo rkhunter --update |
| Yoxlama nəticələrini fayla yazmaq | sudo rkhunter --check > rkhunter_report.txt |
| Yalnız xüsusi testləri çalışdırmaq | sudo rkhunter --test mode |
| Konfiqurasiya fayllarını yoxlamaq | sudo rkhunter --propupd |
4. Təhlükəsizlik Skanlarının Aparılması
4.1. Rootkit Aşkarlanması
Əsas təhlükəsizlik yoxlamasını başlatmaq üçün:
sudo rkhunter --check --sk
Əgər nəticələri HTML və ya TXT faylına yazmaq istəyirsinizsə:
sudo rkhunter --check --sk > rkhunter_report.txt
4.2. Fayl İnteqrliyi Yoxlanışı
RKHunter sistem fayllarının dəyişdirilməsini aşkarlamaq üçün fayl inteqrliyi yoxlaması aparır.
Əgər sistemə yeniləmə etdikdən sonra yeni fayl dəyişikliklərini qəbul etmək istəyirsinizsə:
sudo rkhunter --propupd
Bu əmrlə, sistemin normal dəyişiklikləri RKHunter tərəfindən “etibarlı” kimi qəbul ediləcək.
4.3. Rootkit Verilənlər Bazasının Yenilənməsi
Yeni rootkitlər aşkarlananda, RKHunter-in məlumat bazasını yeniləmək lazımdır:
sudo rkhunter --update
5. Avtomatik Skan və Logların Yoxlanması
Sisteminizi avtomatik yoxlamaq və nəticələri e-poçt ilə göndərmək üçün cron job təyin edə bilərsiniz.
5.1. Gündəlik Avtomatik Skan Əlavə Etmək
Aşağıdakı əmri icra edərək cron job açın:
sudo nano /etc/cron.daily/rkhunter.sh
Aşağıdakı sətirləri fayla əlavə edin:
#!/bin/bash
/usr/bin/rkhunter --update
/usr/bin/rkhunter --check --sk
Sonra skripti icra edilə bilən hala gətirin:
sudo chmod +x /etc/cron.daily/rkhunter.sh
Bu, hər gün RKHunter-in avtomatik skan aparmasını təmin edəcək.
6. RKHunter-i E-poçt Bildirişi ilə İstifadə Etmək
RKHunter skan nəticələrini administratora e-poçt ilə göndərə bilər. Bunun üçün postfix və ya mailx kimi e-poçt serveri quraşdırılmalıdır.
Məsələn, nəticələri e-poçt ilə göndərmək üçün:
sudo rkhunter --check --sk | mail -s "RKHunter Report" admin@example.com
7. RKHunter Konfiqurasiya və Düzəlişlər
RKHunter-in əsas konfiqurasiya faylı /etc/rkhunter.conf yolunda yerləşir.
Bəzi xüsusi ayarları dəyişmək üçün:
sudo nano /etc/rkhunter.conf
7.1. Yanlış Həyəcanların (False Positive) Qarşısını Almaq
Bəzən RKHunter zərərsiz dəyişiklikləri rootkit kimi qəbul edə bilər. Bunu düzəltmək üçün konfiqurasiya faylında aşağıdakı sətirləri dəyişdirin:
ALLOW_SSH_ROOT_USER=yes
SCRIPTWHITELIST=/usr/bin/unhide
Bu, SSH-nin root girişi üçün icazə verməsini və bəzi skriptlərin təhlükəsiz sayılmasını təmin edəcək.
8. Nəticə
RKHunter, Linux və Unix əsaslı sistemlər üçün vacib rootkit aşkarlama alətidir. Bu alət sisteminizi zərərli proqramlardan qorumaq üçün avtomatik yoxlamalar apara bilər və administratorlara təhlükəsizlik hesabatları təqdim edə bilər.
Üstünlükləri:
✔ Açıq mənbəli və pulsuzdur.
✔ Yüngül və istifadəsi asandır.
✔ Rootkitlər, backdoor-lar və zərərli prosesləri aşkar edir.
✔ Avtomatik skan və e-poçt bildirişləri mümkündür.
Daha çox məlumat üçün rəsmi səhifəyə baxa bilərsiniz:
🔗 https://sourceforge.net/projects/rkhunter/