AsiKaR
22-12-2005, 17:58
rkhunter serverınızdaki trojen,rootkit,bindshell yada belli başlı güvenlik açıklarını bulup size bildirir bunların en tehlikelisi rootkitlerdir rootkitler root kullanıcısı tarafından kurulan ve sisteme bir root kullanıcı adı ve şifresi kazandıran programlardır serverınızda local root exploit deniyen birisi serverınızı ilerdede kullanabilmek sizin farkınıza varmamanız için rootkit kurar rootkitler bir çok binary yi kendini saklayacka şekilde değiştiriri rootkit yemiş bir sistemin tamamen temizlenmesi çok zordur o yüzden rootkit yediğini anlarsanız sistemin gerekli yedeklerinizi alıp osreinstall yapmalısınız yani işletim sistemini 0 dan kurdurmalısınız çünkü rootkitlerin amacı kendini saklamaktır hangi dosyayı ne şekilde değiştirdiğini bilemezsiniz
rootkit hunter çok sık aralıklarla güncellenen bir programdır o yüzen mailliste dahil olun
[Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.] ([Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.])
kuruluma geçelim
bu yazıyı yazarken gücnel versiyon 1.2.5 dir
root olarak giriş yapın
wget -c [Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.]
diyerekten root dizinine dosyamızı indiriyoruz
daha sonra
[Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.]
tar -zxvf rkhunter-1.2.5.tar.gz
komutunu vererek dosyamızı açıyoruz
cd rkhunter
yazıp rkhunter klasörüne giriyoruz
[Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.]
kurulumu yapıyoruz
./installer.sh
kurulumu tamamladıktan sonra manuel bir arama yapalım
/usr/local/bin/rkhunter -c
[Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.]
çıkan uyarılara göre gerekli önlemlerinizi alın
bunu elle yapmak yerine hergün cron tarafından yapılan bir hale getirebiliriz ve sonuçlar size mail yoluyla gönderilebilir başlıyalım
crontab -e yazarak crontab ı açıyoruz
bu 2 satırı en altına ekliyoruz
Kod: 10 0 * * * /usr/local/bin/rkhunter --update > /dev/null 2>&1
25 0 * * * /usr/local/bin/rkhunter -c --nocolors --cronjob --report-mode --createlogfile --skip-keypress --quiet
ve görünümü şu şekilde oluyor eklenmiş hali, benim cpanel ve ayarları için
/15 * * * * /usr/local/cpanel/whostmgr/bin/dnsqueue > /dev/null 2>&1
2,58 * * * * /usr/local/bandmin/bandmin
0 0 * * * /usr/local/bandmin/ipaddrmap
15 21 * * * /scripts/cpbackup
12 21 * * * /scripts/upcp
0 6 * * * /scripts/exim_tidydb > /dev/null 2>&1
*/5 * * * * /usr/local/cpanel/bin/dcpumon >/dev/null 2>&1
10 0 * * * /usr/local/bin/rkhunter --update > /dev/null 2>&1
25 0 * * * /usr/local/bin/rkhunter -c --nocolors --cronjob --report-mode --createlogfile --skip-keypress --quiet
[Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.]
dediğim gibi rootkit filan bulursa bir an önce yedeklerinizi alıp osreinstall isteyin datacenterınızdan
Anlatım : dropby23
Düzenleme ve güncelleme : AsiKaR
rootkit hunter çok sık aralıklarla güncellenen bir programdır o yüzen mailliste dahil olun
[Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.] ([Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.])
kuruluma geçelim
bu yazıyı yazarken gücnel versiyon 1.2.5 dir
root olarak giriş yapın
wget -c [Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.]
diyerekten root dizinine dosyamızı indiriyoruz
daha sonra
[Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.]
tar -zxvf rkhunter-1.2.5.tar.gz
komutunu vererek dosyamızı açıyoruz
cd rkhunter
yazıp rkhunter klasörüne giriyoruz
[Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.]
kurulumu yapıyoruz
./installer.sh
kurulumu tamamladıktan sonra manuel bir arama yapalım
/usr/local/bin/rkhunter -c
[Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.]
çıkan uyarılara göre gerekli önlemlerinizi alın
bunu elle yapmak yerine hergün cron tarafından yapılan bir hale getirebiliriz ve sonuçlar size mail yoluyla gönderilebilir başlıyalım
crontab -e yazarak crontab ı açıyoruz
bu 2 satırı en altına ekliyoruz
Kod: 10 0 * * * /usr/local/bin/rkhunter --update > /dev/null 2>&1
25 0 * * * /usr/local/bin/rkhunter -c --nocolors --cronjob --report-mode --createlogfile --skip-keypress --quiet
ve görünümü şu şekilde oluyor eklenmiş hali, benim cpanel ve ayarları için
/15 * * * * /usr/local/cpanel/whostmgr/bin/dnsqueue > /dev/null 2>&1
2,58 * * * * /usr/local/bandmin/bandmin
0 0 * * * /usr/local/bandmin/ipaddrmap
15 21 * * * /scripts/cpbackup
12 21 * * * /scripts/upcp
0 6 * * * /scripts/exim_tidydb > /dev/null 2>&1
*/5 * * * * /usr/local/cpanel/bin/dcpumon >/dev/null 2>&1
10 0 * * * /usr/local/bin/rkhunter --update > /dev/null 2>&1
25 0 * * * /usr/local/bin/rkhunter -c --nocolors --cronjob --report-mode --createlogfile --skip-keypress --quiet
[Linkleri görebilmek için kayıt olmanız gerekiyor. http://www.forumturka.net/forum/register.php link'ini alıp browser'ınıza yapıştırmanız yeterlidir.]
dediğim gibi rootkit filan bulursa bir an önce yedeklerinizi alıp osreinstall isteyin datacenterınızdan
Anlatım : dropby23
Düzenleme ve güncelleme : AsiKaR