Comment trouver des rootkits avec rkhunter

Nous utilisons Internet pour communiquer, apprendre, enseigner, magasiner, vendre et faire de nombreuses autres activités. Nous connectons constamment nos appareils à Internet pour partager et collecter des informations. Cependant, cela vient avec ses avantages et ses dangers.

L'un des dangers les plus importants et les plus présents de se connecter à Internet est un système composé où les attaquants peuvent utiliser vos appareils pour voler des informations personnelles et d'autres informations sensibles.

Bien qu'il existe diverses méthodes que quelqu'un peut utiliser pour attaquer un système, Rootkits est un choix populaire parmi les pirates malveillants. L'essence de ce tutoriel est de vous aider à améliorer la sécurité de votre appareil Linux en utilisant le chasseur RKHUNTER ou ROOTKIT.

Commençons.

Que sont les rootkits?

Rootkits sont des programmes et exécutables puissants et malveillants installés sur un système compromis pour préserver l'accès même si un système a un patch de vulnérabilité de sécurité.

Techniquement, les rootkits sont parmi les outils malveillants les plus étonnants utilisés dans la seconde à la dernière étape de l'étape de test de pénétration (maintien de l'accès).

Une fois que quelqu'un installe un rootkit dans un système, il donne à l'attaquant une télécommande à la télécommande au système ou au réseau. Dans la plupart des cas, les rootkits sont plus qu'un seul fichier qui effectue diverses tâches, notamment la création d'utilisateurs, les processus de démarrage, la suppression de fichiers et d'autres actions nocives pour le système.

Référence amusante: L'une des meilleures illustrations de la nocive des rootkits est dans l'émission télévisée M. Robot. Épisode 101. Minutes 25-30. Citation M. Robot («Désolé, c'est un code malveillant qui prend complètement le contrôle de leur système. Il pourrait supprimer les fichiers système, installer des programmes, des virus, des vers… il est fondamentalement invisible, vous ne pouvez pas l'arrêter.»)

Type de rootkits

Il existe différents types de rootkits, chacun effectuant diverses tâches. Je ne plongerai pas dans la façon dont ils fonctionnent ou comment en construire un. Ils comprennent:

Rootkits de niveau du noyau: Ces types de rootkits fonctionnent au niveau du noyau; Ils peuvent effectuer des opérations dans la partie centrale du système d'exploitation.

Rootkits de niveau utilisateur: Ces rootkits fonctionnent en mode utilisateur normal; Ils peuvent effectuer des tâches comme la navigation des répertoires, la suppression de fichiers, etc.

Rootkits de niveau de mémoire: Ces rootkits résident dans la mémoire principale de votre système et montent les ressources de votre système. Comme ils n'injectent aucun code dans le système, un simple redémarrage peut vous aider à les supprimer.

Rootkits de niveau de chargeur de démarrage: Ces rootkits ciblent principalement le système de chargeur de démarrage et affectent principalement le chargeur de démarrage et non les fichiers système.

ROOTKITS DE FIMCARE: Ils sont un type très grave de rootkits qui affectent le firmware du système, infectant ainsi toutes les autres parties de votre système, y compris le matériel. Ils sont très indétectables dans le cadre d'un programme AV normal.

Si vous souhaitez expérimenter avec Rootkits développé par d'autres ou construire le vôtre, envisagez d'apprendre davantage à partir de la ressource suivante:

https: // génialOpenSource.com / project / d30sa1 / rootkits-list-download

NOTE: Tester les rootkits sur une machine virtuelle. À utiliser à vos risques et périls!

Qu'est-ce que rkhunter

RKHunter, communément appelé RKH, est un utilitaire UNIX qui permet aux utilisateurs de scanner des systèmes pour rootkits, exploits, déchets et keyloggers. RKH fonctionne en comparant les hachages générés à partir des fichiers à partir d'une base de données en ligne de hachages non affectés.

En savoir plus sur le fonctionnement de RKH en lisant son wiki à partir de la ressource fournie ci-dessous:

https: // sourceforge.net / p / rkhunter / wiki / index /

Installation de rkhunter

RKH est disponible dans les principales distributions Linux et vous pouvez l'installer à l'aide de gestionnaires de packages populaires.

Installer sur Debian / Ubuntu

Pour installer sur Debian ou Ubuntu:

Mise à jour Sudo apt-get
sudo apt-get install rkhunter -y

Installer sur Centos / Rehl

Pour installer sur Rehl Systems, téléchargez le package à l'aide de Curl comme indiqué ci-dessous:

curl -olj https: // sourceforge.net / projets / rkhunter / fichiers / le dernier / télécharger

Une fois le package téléchargé, déballer les archives et exécuter le script d'installation fourni.

[Centos @ CentOS8 ~] $ TAR XVF RKHUNTER-1.4.6.le goudron.gz
[Centos @ CentOS8 ~] $ cd rkhunter-1.4.6 /
[Centos @ CentOS8 rkhunter-1.4.6] $ sudo ./ installateur.sh - install

Une fois l'installateur terminé, vous devez faire installer RKHunter et prêt à l'emploi.

Comment exécuter une vérification du système à l'aide de rkhunter

Pour exécuter une vérification du système à l'aide de l'outil RKHUNTER, utilisez la commande:

CSUDO RKHUNTER - Vérifier

L'exécution de cette commande lancera RKH et exécutera une vérification complète du système sur votre système à l'aide d'une session interactive comme indiqué ci-dessous:

Une fois terminé, vous devriez obtenir un rapport complet de vérification du système et des journaux à l'emplacement spécifié.

Conclusion

Ce tutoriel vous a donné une meilleure idée de ce que sont Rootkits, comment installer rkhunter, et comment effectuer une vérification système pour les rootkits et autres exploits. Envisagez d'exécuter une vérification système plus profonde pour les systèmes critiques et les réparer.

Happy rootkit chasse!