« LINUX:Chkrootkit » : différence entre les versions
Aller à la navigation
Aller à la recherche
(Page créée avec « __FORCETOC__ ---- ''→ retour au menu pour contrer les attaques'' ---- =But= "chkrootkit" est un autre programme Unix qui permet de dét… ») |
Aucun résumé des modifications |
||
| Ligne 21 : | Ligne 21 : | ||
= | =Automatisation= | ||
Pour automatiser cette recherche, nous proposons une procédure à activer régulièrement via le CRON d'Unix. | Pour automatiser cette recherche, nous proposons une procédure à activer régulièrement via le CRON d'Unix. | ||
==Procédure== | |||
Voici le script nommé "chkrootkit.test.bat" placé dans le répertoire "/manager/chkrootkit": | |||
---- | |||
#!/bin/bash | |||
# détection de RootKits | |||
CHEMIN="/manager/chkrootkit" | |||
cd $CHEMIN | |||
# exxécution | |||
/usr/bin/chkrootkit > $CHEMIN/chkrootkit.lis | |||
# repérage | |||
/usr/bin/grep "infect" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.temp | |||
/usr/bin/grep -v "not " $CHEMIN/chkrootkit.temp > $CHEMIN/chkrootkit.tmp1 | |||
/usr/bin/grep "INFECTED" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp2 | |||
/usr/bin/grep "Vulnerable" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp3 | |||
# test | |||
LISTE=`/usr/bin/ls $CHEMIN/*.tmp*` | |||
TEST=0 | |||
for I in $LISTE | |||
do | |||
if [ -s $I ]; then | |||
TEST=1 | |||
fi | |||
done | |||
# nettoyage | |||
/usr/bin/rm -f ${CHEMIN}/*.tmp* | |||
/usr/bin/rm -f ${CHEMIN}/*.temp | |||
# si infecté, envoi d'un mail | |||
if [ "$TEST" != "0" ]; then | |||
echo -n "Serveur - " > ${CHEMIN}/sysmail.log | |||
/usr/bin/hostname >> ${CHEMIN}/sysmail.log | |||
echo " " >> ${CHEMIN}/sysmail.log | |||
date >> ${CHEMIN}/sysmail.log | |||
echo " " >> ${CHEMIN}/sysmail.log | |||
echo "Machine infectee (Chkrootkit)" >> ${CHEMIN}/sysmail.log | |||
echo " " >> ${CHEMIN}/sysmail.log | |||
/bin/mail -s "Problemes de rootkit" root < ${CHEMIN}/sysmail.log | |||
/usr/bin/rm -f ${CHEMIN}/sysmail.log | |||
fi | |||
---- | |||
En cas de détection positive, un mail est envoyé à "root". | |||
Il faut donner les privilèges d'exécution: | |||
chmod 700 /manager/chkrootkit/chkrootkit.test.bat | |||
==CRON== | |||
Pour l'automatisation, on ajoute une ligne dans le fichier "/etc/crontab": | |||
---- | |||
# Vérification de RootKits | |||
10 * * * * root /manager/chkrootkit/chkrootkit.test.bat > /manager/chkrootkit/chkrootkit.log | |||
---- | |||
Dans cet exemple, on l'exécute toutes les heures. | |||
Version du 17 février 2022 à 15:55
→ retour au menu pour contrer les attaques
But
"chkrootkit" est un autre programme Unix qui permet de détecter les rootkits.
Installation
Pour installer le logiciel, exécutez la commande:
dnf install chkrootkit
Utilisation
Son utilisation est simple.
- pour un affichage simple:
chkrootkit
- pour un affichage détaillé:
chkrootkit -x
Si un problème est rencontré, le message affiché présente de mot "INFEXTED".
Automatisation
Pour automatiser cette recherche, nous proposons une procédure à activer régulièrement via le CRON d'Unix.
Procédure
Voici le script nommé "chkrootkit.test.bat" placé dans le répertoire "/manager/chkrootkit":
#!/bin/bash
# détection de RootKits
CHEMIN="/manager/chkrootkit"
cd $CHEMIN
# exxécution
/usr/bin/chkrootkit > $CHEMIN/chkrootkit.lis
# repérage
/usr/bin/grep "infect" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.temp
/usr/bin/grep -v "not " $CHEMIN/chkrootkit.temp > $CHEMIN/chkrootkit.tmp1
/usr/bin/grep "INFECTED" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp2
/usr/bin/grep "Vulnerable" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp3
# test
LISTE=`/usr/bin/ls $CHEMIN/*.tmp*`
TEST=0
for I in $LISTE
do
if [ -s $I ]; then
TEST=1
fi
done
# nettoyage
/usr/bin/rm -f ${CHEMIN}/*.tmp*
/usr/bin/rm -f ${CHEMIN}/*.temp
# si infecté, envoi d'un mail
if [ "$TEST" != "0" ]; then
echo -n "Serveur - " > ${CHEMIN}/sysmail.log
/usr/bin/hostname >> ${CHEMIN}/sysmail.log
echo " " >> ${CHEMIN}/sysmail.log
date >> ${CHEMIN}/sysmail.log
echo " " >> ${CHEMIN}/sysmail.log
echo "Machine infectee (Chkrootkit)" >> ${CHEMIN}/sysmail.log
echo " " >> ${CHEMIN}/sysmail.log
/bin/mail -s "Problemes de rootkit" root < ${CHEMIN}/sysmail.log
/usr/bin/rm -f ${CHEMIN}/sysmail.log
fi
En cas de détection positive, un mail est envoyé à "root".
Il faut donner les privilèges d'exécution:
chmod 700 /manager/chkrootkit/chkrootkit.test.bat
CRON
Pour l'automatisation, on ajoute une ligne dans le fichier "/etc/crontab":
# Vérification de RootKits 10 * * * * root /manager/chkrootkit/chkrootkit.test.bat > /manager/chkrootkit/chkrootkit.log
Dans cet exemple, on l'exécute toutes les heures.
→ retour au menu pour contrer les attaques