Chkrootkit

De Le Wiki de debian-fr.xyz
Aller à : navigation, rechercher

chkrootkit est un logiciel libre sous licence GNU GPL permettant de détecter si un système UNIX n'a pas été compromis par un rootkit.

Il permet de détecter les traces d'une attaque et de rechercher la présence d'un rootkit sur un système Unix/Linux en vérifiant les quelques points suivants :

  • si des fichiers exécutables du système ont été modifiés ;
  • si la carte réseau est en mode « promiscuous » ;
  • si un ou des vers LKM (Loadable Kernel Module) sont présents.

La vérification effectuée au sujet du mode promiscuous consiste à voir si la carte réseau est configurée pour récupérer et lire toutes les trames, indiquant la possibilité qu'un sniffer soit installé sur le système.

La définition exacte de rootkit donnée par Le Jargon Français est : « ensemble d'exploits réunis afin d'avoir des chances maximales de piquer un compte root (administrateur), c'est-à-dire avec lequel on peut faire n'importe quoi) sur une machine Unix. »

Les binaires suivants sont vérifiés:

aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp OSX_RSPLUG amd basename biff chfn chsh cron crontab date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write

Puis toute une série de vérifications (vers, sniffer's, LKM...)

# apt-get install chkrootkit

Choisissez les options pas défaut:

  1. chkrootkit

ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected ... Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: /usr/lib/pymodules/python2.6/.path /lib/init/rw/.ramfs ... Checking `chkutmp'... chkutmp: nothing deleted Checking `OSX_RSPLUG'... not infected

Le plus difficile pour vous sera de déterminer les "faux positifs"... En effet, il arrivera que vous ayez des alertes qui ne sont pas justifiées.

Si vous souhaitez un rapport par mail:

Ouvrez /etc/cron.daily/chkrootkit et remplacez

Ceci:

   else
       eval $CHKROOTKIT $RUN_DAILY_OPTS
   fi

Par cela:

   else
       eval $CHKROOTKIT $RUN_DAILY_OPTS 2>&1 | mail root -s "ChkRootkit: Rapport de vérification"
   else


Lol 9 août 2011 à 09:48 (CDT)