Comment installer chkrootkit
Habituellement, lorsqu'il est détecté la présence d'un rootkit, la victime a besoin pour réinstaller le système d'exploitation et le matériel frais, analyser les fichiers à transférer au remplacement et dans le pire des cas, le remplacement sera nécessaire.Il est important de mettre en évidence la possibilité de faux positifs, c'est le principal problème de chkrootkit, donc lorsqu'une menace est détectée, la recommandation est d'exécuter des alternatives supplémentaires avant de prendre des mesures, ce didacticiel explorera également brièvement RKHunter comme alternative. Il est également important de dire que ce tutoriel est optimisé pour les utilisateurs de Debian et basés sur les distributions de Linux, la seule limitation pour les utilisateurs des autres distributions est la partie d'installation, l'utilisation de Chkrootkit est la même pour toutes les distros.
Étant donné que RootKits a une variété de façons d'atteindre ses objectifs cachant des logiciels malveillants, Chkrootkit propose une variété d'outils pour se permettre ces moyens. Chkrootkit est une suite d'outils qui inclut le programme principal Chkrootkit et les bibliothèques supplémentaires qui sont répertoriées ci-dessous:
chkrootkit: Programme principal qui vérifie les binaires du système d'exploitation pour les modifications RootKit pour savoir si le code était falsifié.
ifprommisc.c: vérifie si l'interface est en mode promiscuité. Si une interface réseau est en mode promiscuité, il peut être utilisé par un attaquant ou un logiciel malveillant pour capturer le trafic réseau pour l'analyser plus tard.
chklastlog.c: vérifie les suppressions de Lastlog. Lastlog est une commande qui affiche des informations sur les derniers connexions. Un attaquant ou rootkit peut modifier le fichier pour éviter la détection si le système sysadmin vérifie cette commande pour apprendre des informations sur les connexions.
chkwtmp.c: vérifie les suppressions de WTMP. De même, au script précédent, CHKWTMP vérifie le fichier WTMP, qui contient des informations sur les connexions des utilisateurs pour essayer de détecter des modifications dessus au cas où un rootkit modifie les entrées pour éviter la détection des intrusions.
check_wtmpx.c: Ce script est le même que les systèmes ci-dessus mais Solaris.
chkproc.c: vérifie les signes de chevaux de Troie dans LKM (modules de noyau chargé).
chkdirs.c: a la même fonction que ce qui précède, vérifie les chevaux de Troie dans les modules du noyau.
cordes.c: Remplacement des cordes rapides et sales visant à cacher la nature du rootkit.
chkutmp.c: Ceci est similaire à CHKWTMP mais vérifie à la place le fichier UTMP.
Tous les scripts mentionnés ci-dessus sont exécutés lorsque nous exécutons chkrootkit.
Pour commencer à installer Chkrootkit sur Debian et les distributions Linux basées sur l'exécution:
# apt installer chkrootkit -y
Une fois installé pour l'exécuter, exécutez:
# sudo chkrootkit
Pendant le processus, vous pouvez voir tous les scripts intégrant chkrootkit sont exécutés en faisant chacun sa partie.
Vous pouvez obtenir une vue plus confortable avec le défilement d'ajout de tuyaux et moins:
# sudo chkrootkit | moins
Vous pouvez également exporter les résultats vers un fichier en utilisant la syntaxe suivante:
# sudo chkrootkit> Résultats
Ensuite, pour voir le type de sortie:
# moins de résultats
Note: vous pouvez remplacer les «résultats» pour tout nom que vous souhaitez donner le fichier de sortie.
Par défaut, vous devez exécuter chkrootkit manuellement comme expliqué ci-dessus, mais vous pouvez définir des analyses automatiques quotidiennes en modifiant le fichier de configuration Chkrootkit situé sur / etc / chkrootkit.conf, essayez-le en utilisant nano ou tout éditeur de texte que vous aimez:
# nano / etc / chkrootkit.confli
Pour atteindre un scan automatique quotidien, la première ligne contenant Run_daily = "false" devrait être modifié à Run_daily = "true"
C'est à quoi ça devrait ressembler:
Presse Ctrl+X et Y Pour économiser et sortir.
Rootkit Hunter, une alternative à Chkrootkit:
Une autre option pour chkrootkit est Rootkit Hunter, c'est aussi un complément considérant que si vous avez trouvé Rootkits en utilisant l'un d'eux, l'utilisation de l'alternative est obligatoire pour éliminer les faux positifs.
Pour commencer par rootkithunter, installez-le en fonctionnant:
# apt install rkhunter -y
Une fois installé, pour exécuter un test, exécutez la commande suivante:
# rkhunter --check
Comme vous pouvez le voir, comme Chkrootkit, la première étape de Rkhunter est d'analyser les binaires du système, mais aussi des bibliothèques et des chaînes:
Comme vous le verrez, contrairement à Chkrootkit Rkhunter vous demandera d'appuyer sur Entrée pour continuer avec les prochaines étapes, auparavant Rootkit Hunter a vérifié les binaires et les bibliothèques du système, il ira maintenant pour les rootkits connus:
Appuyez sur Entrée pour permettre à RKHUNTER d'aller de l'avant avec la recherche RootKits:
Ensuite, comme Chkrootkit, il vérifiera vos interfaces réseau et également les ports connus pour être utilisés par des déambulations ou des chevaux de Troie:
Enfin, il imprimera un résumé des résultats.
Vous pouvez toujours accéder aux résultats enregistrés à / var / log / rkhunter.enregistrer:
Si vous soupçonnez que votre appareil peut être infecté par un rootkit ou compromis, vous pouvez suivre les recommandations répertoriées sur https: // linuxhint.com / détect_linux_system_hacked /.
J'espère que vous avez trouvé ce tutoriel sur la façon d'installer, de configurer et d'utiliser Chkrootkit utile. Continuez à suivre Linuxhint pour plus de conseils et de mises à jour sur Linux et le réseautage.