October 01, 2013

Rkhunter Kullanarak Linux'de Malware

Rkhunter RootkitHunter anlamına gelir.Açık kaynak kodlu olan bu yazılım linux için bilinen rootkit ve malwarelerin tespitinde kullanılan bir Linux betiğidir.Bununla birlikte linux/unix sistemlerde başlangıçtaki sistem dosyalarında yapılan değişiklikleri de tespit etmektedir.Aşağıdaki anlatılanlar Centos 6.4 işletim sistemi içindir.

Aşağıdaki Komutları sırasıyla girerek kurulum işlemini tamamlayınız.

wget http://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
tar -zxpvf  rkhunter-1.4.2.tar.gz
cd cd rkhunter-1.4.2
./installer.sh --layout default --install

Kurulumun tamamlandığını aşağıdaki çıktıyı aldığınızda rahatlıkla anlayabilirsiniz.

rkhuntergorsel

Bu işlemlerin hemen ardından programın veritabanı nı güncellememiz gerekiyor.

/usr/local/bin/rkhunter --update 
/usr/local/bin/rkhunter --propupd

Ayda bir kez veritabanı nı güncellemeniz önerilmektedir.(7 aydır hiç güncellemedim bu makaleye kısmet oldu)tüm işlemler başarılı bir şekilde gerçekleşti ise tarama işlemine rahatlıkla geçebiliriz.

rkhunter --check

Komutu ile sunucumuzu tarıyoruz.İşlem tamamlandıktan sonra “ /var/log/” yoluna gidiyoruz “ rkhunter.log” yardımıyla sonucu öğrenebilirsiniz.

Otomatik Taramasını istiyorsak Cronjob yardımıyla bu işlemi kolaylıkla gerçekleştirebiliriz.Bunun için “ /etc/cron.daily/”  dizini içerisine “ rktarama.sh” oluşturmamız ve aşağıdaki komutları vermemiz gerekiyor.

#malware ve rootkit taramasında kullanılacak olan cronjob betiğimiz
#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter rapor (mail.mertcangokgoz.com)'  [email protected]

Yukarıdaki mail bilgilerini kendi sunucunuza göre değiştirmeyi unutmayınız. Son olarak da izinleri ayarlıyoruz ve işlemimiz tamamlanmış oluyor.

chmod a+x rktarama.sh