Pregătirea Sistemului

Este întotdeauna recomandat să vă asigurați că sistemul este actualizat înainte de a instala un pachet. Folosiți comanda dată pentru a instala actualizări de securitate și alte pachete pe sistemul Ubuntu Linux.

Instalarea Rootkit Hunter pe Ubuntu 24.04

Nu avem nevoie să adăugăm nimic altceva la sistemul Ubuntu, precum un repository, pentru a instala Rootkit Hunter. Pachetele necesare pentru instalarea acestui instrument de securitate sunt deja disponibile în repository-urile implicite ale sistemului Ubuntu. Prin urmare, folosiți comanda APT dată și Hunter va fi instalat pe sistem.

sudo apt install rkhunter

Sistemul va solicita configurarea serverului de mail pentru a trimite notificări prin email despre alerte, rapoarte despre potențiale amenințări și rezultate ale scanărilor generate de Rootkit Hunter. Selectați opțiunea care se potrivește mediului dvs.

Actualizarea definițiilor Rootkit Hunter

Odată ce am finalizat instalarea, primul pas este să ne asigurăm că fișierele bazei de date ale Rootkit Hunter sunt actualizate. Acest lucru va asigura că are cele mai recente informații despre potențialele amenințări.

sudo rkhunter --update
```


Dacă, după executarea comenzii de mai sus, primiți următoarea eroare:
```
Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"

Atunci trebuie să editați fișierul de configurare Hunter:

sudo nano /etc/rkhunter.conf

După aceea, derulați și găsiți linia WEB_CMD="/bin/false" și modificați-o la:

WEB_CMD=""

De asemenea, schimbați valorile MIRRORS_MODE=1 și UPDATE_MIRRORS=0 după cum urmează:

UPDATE_MIRRORS=1
MIRRORS_MODE=0

Salvați fișierul apăsând Ctrl+X, tastând Y, apoi apăsând tasta Enter.

Rularea Rootkit Hunter pentru scanarea Ubuntu

Suntem gata să scanăm complet sistemul Ubuntu 24.04 folosind Rootkit Hunter. Rulați comanda dată și va verifica pentru rootkit-uri, backdoor-uri și posibile exploatări locale pe sistem.

sudo rkhunter --checkall

În timpul scanării, Rootkit Hunter va furniza output detaliat despre ce este verificat. Este normal să vedeți un amestec de statusuri “OK” și “Warning”.

Automatizarea verificărilor și scanărilor zilnice

Putem crea un cron job pentru a rula Rootkit Hunter automat, scanând sistemul și trimițând rezultatele prin email.

Deschideți fișierul crontab pentru editare:

sudo crontab -e

Adăugați următoarea linie pentru a programa o scanare zilnică la ora 2 AM (ajustați ora după necesitate):

0 2 * * * /usr/bin/rkhunter --cronjob --report-warnings-only --append-log

Această comandă programează Rootkit Hunter să ruleze ca un cron job și adaugă în fișierul log raportând doar avertismentele.

Resetarea avertismentelor și stergerea Istoricului

Rootkit Hunter poate genera avertismente din motive legitime (de exemplu, actualizări software sau instalări noi). După revizuirea avertismentelor și confirmarea că sunt sigure, le putem șterge folosind comanda. Aceasta va actualiza baza de date a proprietăților după verificarea că sistemul este curat.

Pentru a șterge istoricul fișierelor cunoscute ca fiind corecte și pentru a reseta avertismentele, rulați următoarea comandă:

Vizualizarea log-ului detaliat al rezultatelor scanării

După finalizarea scanării, Rootkit Hunter rezumă potențialele probleme pentru revizuirea rezultatelor și determinarea dacă vreun avertisment necesită acțiune. Pentru a vizualiza log-ul detaliat al scanării, putem deschide fișierul log:

sudo less /var/log/rkhunter.log

Căutați avertismente în log tastând:

/Warning

Această comandă vă permite să parcurgeți avertismentele din fișierul log.

Dezinstalarea Rootkit Hunter

Deși Rootkit Hunter este un instrument indispensabil pentru administratorii de sistem și experții în securitate, îl putem elimina folosind următoarea comandă din Ubuntu 24.04 dacă nu mai este necesar: