Voici un petit tutoriel pour (découvrir pour certains) installer et utiliser chkrootkit, un outil (logiciel libre) existant depuis 1997 dédié en particulier à la détection d'un rootkit et plus généralement à détecter les signes d'une intrusion ou attaque sur systèmes Unix/Linux.
chkrootkit est un outil permettant de détecter les
traces d'une attaque et rechercher la présence d'un rootkit sur un système
Unix/Linux en vérifiant les quelques points suivants:
- si des fichiers
exécutables du système ont été modifiés
- si la carte réseau est en
mode "promiscuous"
- si un ou des vers LKM (Linux Kernel Module) sont
présent.
La définition exacte de rootkit donnée par Le
Jargon Français est :
Ensemble d'exploits réunis afin d'avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n'importe quoi) sur une machine Unix.Inutile d'en rajouter, ça a le mérite d'être explicite.
La vérfication effectuée au sujet du mode promiscuous consiste à voir si la carte réseau est configurée pour récupérer et lire toutes les trames, indiquant la possibilité qu'un sniffer soit installé sur le système.
La mise en place de chkrootkit est assez
simple. Pour être sûr d'avoir la version la plus récente, il est conseillé
d'utiliser les sources en tarball mais chkrootkit existe aussi en RPM
(Rpmfind.Net).
Assurez vous d'être en
tant que root pour effectuer l'installation.
A partir du
terminal
Si vous êtes en compte utilisateur, tapez simplement su
et votre mot de passe administrateur
Décompressez la:
tar -zxvf chkrootkit.tar.gz
et copiez le répertoire dans /usr/local
entrez dans le répertoire créé:
cd chkrootkit-*/
lancez la compilation :
make sense
( ne me demandez pas "pourquoi l'argument sense ?", je ne sais pas )
L'install se résume à ces quelques
lignes:
|
[root@cuba ]# cd /usr/local/src [root@cuba ]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz [root@cuba ]# tar -zxvf chkrootkit.tar.gz [root@cuba ]# mv chkrootkit-0.39a /usr/local/ [root@cuba ]# cd .. [root@cuba ]# cd chkrootkit-0.39a [root@cuba ]# make sense |
Voilà, chkrootkit est maintenant prêt
à consommer.
Pour vous en assurer, lancez la commande
|
[root@cuba ]# ./chkrootkit |
le programme va alors rechercher les sniffers, logs suspects, rootkits et vers potentiellement installés sur le système.
|
Checking `amd'... not infected Checking `basename'... not infected Checking `biff'... not infected Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected ... Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... ... Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... nothing detected Checking `rexedcs'... not found Checking `sniffer'... eth0 is not promisc Checking `wted'... nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... nothing deleted |
Si tout se passe bien, les seuls résultats doivent être not infected, nothing detected, not found et la (ou les) carte réseau doit être not promisc.
site officiel et miroir en français :
- http://www.chkrootkit.org
- http://frenchkrootkit.free.fr
Derniers commentaires