LINUX:Chkrootkit

De WIKI sur Linux (ADB)
Aller à la navigation Aller à la recherche

retour au menu pour contrer les attaques


But

"chkrootkit" est un autre programme Unix qui permet de détecter les rootkits.


Installation

Pour installer le logiciel, exécutez la commande:

dnf install chkrootkit


Utilisation

Son utilisation est simple.

  • pour un affichage simple:
chkrootkit
  • pour un affichage détaillé:
chkrootkit -x

Si un problème est rencontré, le message affiché présente de mot "INFEXTED".


Automatisation

Pour automatiser cette recherche, nous proposons une procédure à activer régulièrement via le CRON d'Unix.


Procédure

Voici le script nommé "chkrootkit.test.bat" placé dans le répertoire "/manager/chkrootkit":


#!/bin/bash
# détection de RootKits
CHEMIN="/manager/chkrootkit"
cd $CHEMIN
# exxécution
/usr/bin/chkrootkit > $CHEMIN/chkrootkit.lis
# repérage
/usr/bin/grep "infect" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.temp
/usr/bin/grep -v "not " $CHEMIN/chkrootkit.temp > $CHEMIN/chkrootkit.tmp1
/usr/bin/grep "INFECTED" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp2
/usr/bin/grep "Vulnerable" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp3
# test
LISTE=`/usr/bin/ls $CHEMIN/*.tmp*`
TEST=0
for I in $LISTE
do
 if [ -s $I ]; then
  TEST=1
 fi
done
# nettoyage
/usr/bin/rm -f ${CHEMIN}/*.tmp*
/usr/bin/rm -f ${CHEMIN}/*.temp
# si infecté, envoi d'un mail
if [ "$TEST" != "0" ]; then
  echo -n "Serveur - "             >  ${CHEMIN}/sysmail.log
  /usr/bin/hostname                >> ${CHEMIN}/sysmail.log
  echo " "                         >> ${CHEMIN}/sysmail.log
  date                             >> ${CHEMIN}/sysmail.log
  echo " "                         >> ${CHEMIN}/sysmail.log
  echo "Machine infectee (Chkrootkit)"  >> ${CHEMIN}/sysmail.log
  echo " "                         >> ${CHEMIN}/sysmail.log 
  /bin/mail -s "Problemes de rootkit" root < ${CHEMIN}/sysmail.log
  /usr/bin/rm -f ${CHEMIN}/sysmail.log
fi

En cas de détection positive, un mail est envoyé à "root".

Il faut donner les privilèges d'exécution:

chmod 700 /manager/chkrootkit/chkrootkit.test.bat


CRON

Pour l'automatisation, on ajoute une ligne dans le fichier "/etc/crontab":


# Vérification de RootKits
10 * * * * root /manager/chkrootkit/chkrootkit.test.bat > /manager/chkrootkit/chkrootkit.log

Dans cet exemple, on l'exécute toutes les heures.




retour au menu pour contrer les attaques