Chkrootkit
chkrootkit est un logiciel libre sous licence GNU GPL permettant de détecter si un système UNIX n'a pas été compromis par un rootkit.
Il permet de détecter les traces d'une attaque et de rechercher la présence d'un rootkit sur un système Unix/Linux en vérifiant les quelques points suivants :
- si des fichiers exécutables du système ont été modifiés ;
- si la carte réseau est en mode « promiscuous » ;
- si un ou des vers LKM (Loadable Kernel Module) sont présents.
La vérification effectuée au sujet du mode promiscuous consiste à voir si la carte réseau est configurée pour récupérer et lire toutes les trames, indiquant la possibilité qu'un sniffer soit installé sur le système.
La définition exacte de rootkit donnée par Le Jargon Français est : « ensemble d'exploits réunis afin d'avoir des chances maximales de piquer un compte root (administrateur), c'est-à-dire avec lequel on peut faire n'importe quoi) sur une machine Unix. »
- (fr) Source Wikipedia
Les binaires suivants sont vérifiés:
aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp OSX_RSPLUG amd basename biff chfn chsh cron crontab date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write
Puis toute une série de vérifications (vers, sniffer's, LKM...)
# apt-get install chkrootkit
Choisissez les options pas défaut:
- chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
...
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/pymodules/python2.6/.path /lib/init/rw/.ramfs
...
Checking `chkutmp'... chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected
Le plus difficile pour vous sera de déterminer les "faux positifs"... En effet, il arrivera que vous ayez des alertes qui ne sont pas justifiées.
Si vous souhaitez un rapport par mail:
Ouvrez /etc/cron.daily/chkrootkit et remplacez
Ceci:
else eval $CHKROOTKIT $RUN_DAILY_OPTS fi
Par cela:
else eval $CHKROOTKIT $RUN_DAILY_OPTS 2>&1 | mail root -s "ChkRootkit: Rapport de vérification" else
- (en) Site Officiel
Lol 9 août 2011 à 09:48 (CDT)