Instalando Rkhunter en Debian 8 sin pasarse horas en Google!!

Después de una muy mala experiencia con un rootkit en uno de los servers me recomendaron instalar estas dos herramientas: chkrootkit y rkhunter. La primera se instala sin ningún tipo de problemas.

Después de instalar rkhunter, es necesario actualizar la base de datos de propiedades de los archivos rkhunter. (rkhunter –propupd)

Cuando ejecutaba esa sentencia daba el error:

Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/lwp-request, que impedía que pudiera ejecutarse.  

Para arreglarlo hay dos opciones.

1-  Crear el archivo lwp-request utilizando el comando nano /usr/bin/lwp-request

2-  Modificando el rkhunter.conf (esta fue la que hice yo)

Hay que comentar las líneas de los scriptwhitelist.

Accedemos al archivo de configuración de rkhunter con nano /etc/rkhunter.conf
y con el símbolo de # comentamos todas esas líneas (están casi al final del archivo de configuración)

 

#SCRIPTWHITELIST=/bin/egrep

#SCRIPTWHITELIST=/bin/fgrep

#SCRIPTWHITELIST=/bin/which

#SCRIPTWHITELIST=/usr/bin/groups

#SCRIPTWHITELIST=/usr/bin/ldd

#SCRIPTWHITELIST=/usr/bin/lwp-request

#SCRIPTWHITELIST=/usr/sbin/adduser

#SCRIPTWHITELIST=/usr/sbin/prelink

#SCRIPTWHITELIST=/usr/bin/unhide.rb

 

Y volvemos a ejecutar rkhunter –propupd, si todo está bien te muestra el siguiente mensaje:

[email protected]:~# rkhunter –propupd

[ Rootkit Hunter version 1.4.2 ]

File updated: searched for 173 files, found 138

Luego ejecutamos  rkhunter –check para hacer el análisis del server.

1 Comment

  1. Usando Firefox 47.0 Firefox 47.0 en GNU/Linux x64 GNU/Linux x64

    Muy bueno el artículo. Pero para grandes despliegues te recomiendo OSSEC. OSSEC es un sistema de detección de intrusos basado en host de código abierto y libre (HIDS). Realiza análisis de registro, comprobación de integridad, supervisión del registro de Windows, detección de rootkits, alertas basadas en el tiempo y respuesta activa. Proporciona detección de intrusiones para la mayoría de los sistemas operativos, incluyendo Linux, OpenBSD, FreeBSD, OS X, Solaris y Windows. OSSEC tiene una arquitectura centralizada y multiplataforma que permite que múltiples sistemas sean fácilmente monitoreados y administrados.

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*