تنصيب Chkrootkit

تحت تصنيف security, sysadmin بواسطة admin

طبعا هنسئل ايه هيه Chkrootkit ؟

هيه تولز او اداة خاصة بالناس اللي شغالين sysadmin او security admin او اي حد عنده سيرفر او حتي جهازه وعاوز يعمل عليه سكان علشان يشوف هل عليه rootkits ولا لا

هنشوف ازاي هنسطبها علي السيرفر وازاي نخليها تشتغل اوتوماتيك وكمان تبعتلك الreport علي الايميل بتاعك

طيب نبدأ

1- طبعا لازم ندخل الـ SSH واحنا في وضع الroot

2- بعدها هنسحب السورس بتاع الchkrootkit uلي السيرفر عندنا بWget

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

3- لو تحب تتخطي الخطوة دي ممكن تتخطاها يعني مش مهمة للدرجة

لانها بتخليك تشيك علي الmd5sum علشان تتأكد ان الchrootkit نزل صح

الاول هنسحب الmd5 sum للسيرفر عندنا

ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5

وبعدها هنشوف اذا كانت الchrootkit نزل تمام

md5sum chkrootkit.tar.gz

4- هنفك الضغط من علي الملف اللي حملناه علي السيرفر

tar xvzf chkrootkit.tar.gz

5- هندخل علي الفولدر اللي فكينا الضغط بتاعه

cd chkrootkit*

طبعا ال* دي علشان انت مش هتكون يعني عارف اسم المجلد كامل فهوه بيشوف لوحده باقي الاسم

6- نجي بقي نعمل compile للبرنامج ده

make sense

7- بس كده مبروك عليك البرنامج اتسطب عندك  قاعد بقي نشغله علشان نختبر نشوف شغلنا صح ولا لا

./chkrootkit

8- هتلاقي التقرير بتاع الفحص بيطلع علي شاشة الشيل وهتلاقي الأغلبية بتقولك not found  او not infect

كده تبقي اشطه في التمام

طيب لا قدر الله لو طلع عندك اي infect او لقي حاجة دي هنشوفها وهنعرف ازاي نتعامل معاها بس مش دلوقتي

دلوقتي بقي ركز معايا تاني علشان داخلين علي حته مهمه

دلوقتي هل انا هفضل كل يوم ادخل اشغله بايدي كده ده ايه التعب ده

وليه ياعم تشغله بايدك هنخليه شتغل لوحده وكمان هيبعتلك التقرير بتاع الفحص علي الايميل بتاعك

نرجع تاني للssh علشان نكمل شغل بقي

1- ندخل الssh ونكتب بقي الكوماند ده

nano /etc/cron.daily/chkrootkit.sh

طيب ليه علشان نعمل ملف جديد اسمه chkrootkit.sh علشان نخليه يشتغل لوحده مع الcornjobs

كده انت بتنشئ ملف جديد

2- طيب هنعمل ايه ده الملف ده فاضي مفيش فيه اي كلام  اصبر انا جايلك اهوه

حط بقي الكلام ده جواه

#!/bin/bash
cd /yourinstallpath/chkrootkit-version/
./chkrootkit | mail -s “Daily chkrootkit from Servername” admin@youremail.com

طيب ايه ياعم اللي انا هعمله بقي كل اللي هتعمله هوه انك هتغير الاتي

1- yourinstallpath دي المسار بتاعك اللي انت حملت فيه البرنامج وفكيت الضغط عنه

2- chkrootkit-version دي رقم النسخة اللي نزلت معاك

3- Servername دي هنغيرها لاسم السيرفر اللي انت عليه علشان لما ربنا يديلك اكتر من سيرفر مش تتلخبط بينهم

4- admin@youremail.com دي تغيرها للايميل اللي انت عاوز يوصل عليه التقرير بتاع الفحص

طيب كده تمام فاهم انا لغاية كده عاوز بقي اطلع من الكلام ده واعمل حفظ للكلام ده

بسيطة

3- واحنا في الssh هنعمل Ctrl+X  وبعدها هنكتب Y ونضغط entr

4- طيب دلوقتي قاعد ايه انت طولت كتير كده ليه خلاص قربنا نخلص

قاعد دلوقتي اننا ندي الملف ده التصاريح المناسبة علشان يشتغل مع نفسه

طيب دي هعملها ازاي ؟ بسيطة

chmod 755 /etc/cron.daily/chkrootkit.sh

5-اشطات كده خلاص خلصنا طيب ياعم انا عاوز اشوف اي بتنجان من الكلام اللي عملته ده

طيب ايه رأيك نجرب البرنامج دلوقتي ونشوف هيبعت لنا ولا لا

طيب نكتب بقي الكوماند ده علشان ندخل علي المسار اللي فيه الملف اللي هيشتغل لوحده ده

cd /etc/cron.daily/

6- دلوقتي بقي قاعد خطوه بسيطة اننا نشغل الملف ده علشان يعمل الفحص بتاعه ويبعت لنا نتيجته

./chkrootkit.sh

دلوقتي هيجيلك ايميل فيه نتيجة الفحص بتاعنا وبكده نبقي انتهينا من عملية نسطيب البرنامج وشغلناه وكمان خلناه اشتغل لوحده وبعتل لنا ميل كمان

ياله بقي اسيبكم الحقوا اهربوا