« LINUX:Chkrootkit » : différence entre les versions
(Page créée avec « __FORCETOC__ ---- ''→ retour au menu pour contrer les attaques'' ---- =But= "chkrootkit" est un autre programme Unix qui permet de dét… ») |
Aucun résumé des modifications |
||
(Une version intermédiaire par le même utilisateur non affichée) | |||
Ligne 21 : | Ligne 21 : | ||
= | =Automatisation= | ||
Pour automatiser cette recherche, nous proposons une procédure à activer régulièrement via le CRON d'Unix. | Pour automatiser cette recherche, nous proposons une procédure à activer régulièrement via le CRON d'Unix. | ||
==Procédure== | |||
Voici le script nommé "chkrootkit.test.bat" placé dans le répertoire "/manager/chkrootkit": | |||
---- | |||
#!/bin/bash | |||
# détection de RootKits | |||
CHEMIN="/manager/chkrootkit" | |||
cd $CHEMIN | |||
# exxécution | |||
/usr/bin/chkrootkit > $CHEMIN/chkrootkit.lis | |||
# repérage | |||
/usr/bin/grep "infect" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.temp | |||
/usr/bin/grep -v "not " $CHEMIN/chkrootkit.temp > $CHEMIN/chkrootkit.tmp1 | |||
/usr/bin/grep "INFECTED" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp2 | |||
/usr/bin/grep "Vulnerable" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp3 | |||
# test | |||
LISTE=`/usr/bin/ls $CHEMIN/*.tmp*` | |||
TEST=0 | |||
for I in $LISTE | |||
do | |||
if [ -s $I ]; then | |||
TEST=1 | |||
fi | |||
done | |||
# nettoyage | |||
/usr/bin/rm -f ${CHEMIN}/*.tmp* | |||
/usr/bin/rm -f ${CHEMIN}/*.temp | |||
# si infecté, envoi d'un mail | |||
if [ "$TEST" != "0" ]; then | |||
echo -n "Serveur - " > ${CHEMIN}/sysmail.log | |||
/usr/bin/hostname >> ${CHEMIN}/sysmail.log | |||
echo " " >> ${CHEMIN}/sysmail.log | |||
date >> ${CHEMIN}/sysmail.log | |||
echo " " >> ${CHEMIN}/sysmail.log | |||
echo "Machine infectee (Chkrootkit)" >> ${CHEMIN}/sysmail.log | |||
echo " " >> ${CHEMIN}/sysmail.log | |||
/bin/mail -s "Problemes de rootkit" root < ${CHEMIN}/sysmail.log | |||
/usr/bin/rm -f ${CHEMIN}/sysmail.log | |||
fi | |||
---- | |||
En cas de détection positive, un mail est envoyé à "root". | |||
Il faut donner les privilèges d'exécution: | |||
chmod 700 /manager/chkrootkit/chkrootkit.test.bat | |||
==CRON== | |||
Pour l'automatisation, on ajoute une ligne dans le fichier "/etc/crontab": | |||
---- | |||
# Vérification de RootKits | |||
10 * * * * root /manager/chkrootkit/chkrootkit.test.bat > /manager/chkrootkit/chkrootkit.log | |||
---- | |||
Dans cet exemple, on l'exécute toutes les heures mais on pourrait ne l'exécuter qu'une fois par jour | |||
. | |||
Dernière version du 17 février 2022 à 18:09
→ retour au menu pour contrer les attaques
But
"chkrootkit" est un autre programme Unix qui permet de détecter les rootkits.
Installation
Pour installer le logiciel, exécutez la commande:
dnf install chkrootkit
Utilisation
Son utilisation est simple.
- pour un affichage simple:
chkrootkit
- pour un affichage détaillé:
chkrootkit -x
Si un problème est rencontré, le message affiché présente de mot "INFEXTED".
Automatisation
Pour automatiser cette recherche, nous proposons une procédure à activer régulièrement via le CRON d'Unix.
Procédure
Voici le script nommé "chkrootkit.test.bat" placé dans le répertoire "/manager/chkrootkit":
#!/bin/bash # détection de RootKits CHEMIN="/manager/chkrootkit" cd $CHEMIN # exxécution /usr/bin/chkrootkit > $CHEMIN/chkrootkit.lis # repérage /usr/bin/grep "infect" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.temp /usr/bin/grep -v "not " $CHEMIN/chkrootkit.temp > $CHEMIN/chkrootkit.tmp1 /usr/bin/grep "INFECTED" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp2 /usr/bin/grep "Vulnerable" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp3 # test LISTE=`/usr/bin/ls $CHEMIN/*.tmp*` TEST=0 for I in $LISTE do if [ -s $I ]; then TEST=1 fi done # nettoyage /usr/bin/rm -f ${CHEMIN}/*.tmp* /usr/bin/rm -f ${CHEMIN}/*.temp # si infecté, envoi d'un mail if [ "$TEST" != "0" ]; then echo -n "Serveur - " > ${CHEMIN}/sysmail.log /usr/bin/hostname >> ${CHEMIN}/sysmail.log echo " " >> ${CHEMIN}/sysmail.log date >> ${CHEMIN}/sysmail.log echo " " >> ${CHEMIN}/sysmail.log echo "Machine infectee (Chkrootkit)" >> ${CHEMIN}/sysmail.log echo " " >> ${CHEMIN}/sysmail.log /bin/mail -s "Problemes de rootkit" root < ${CHEMIN}/sysmail.log /usr/bin/rm -f ${CHEMIN}/sysmail.log fi
En cas de détection positive, un mail est envoyé à "root".
Il faut donner les privilèges d'exécution:
chmod 700 /manager/chkrootkit/chkrootkit.test.bat
CRON
Pour l'automatisation, on ajoute une ligne dans le fichier "/etc/crontab":
# Vérification de RootKits 10 * * * * root /manager/chkrootkit/chkrootkit.test.bat > /manager/chkrootkit/chkrootkit.log
Dans cet exemple, on l'exécute toutes les heures mais on pourrait ne l'exécuter qu'une fois par jour .
→ retour au menu pour contrer les attaques