#1 Le 18/10/2011, à 11:09
- ubuntuforce
[astuce] detection avec chkrootkit
Je vous explique ici une petite astuce pour detecter les rootkits dans votre système:
Nous allons avoir besoin du programme chkrootkit:
"Description*: Détecteur de rootkit
L'analyseur de sécurité chkrootkit recherche des indices montrant une infection
par un rootkit. Un rookit est un ensemble de programmes et de bidouillages
conçu pour prendre le contrôle de la machine cible en exploitant des failles de
sécurité.
Les types de rootkits identifiables par chkrootkit sont listés sur la page
d'accueil du projet.
Veuillez noter que chkrootkit ne détecte pas les intrusions, ne garantissant
donc pas que le système ne soit pas compromis. En plus d'exécuter chkrootkit,
d'autres tests plus spécifiques devraient toujours être réalisés."
Site*: http://www.chkrootkit.org/donc nous l'installons:
sudo apt-get install chkrootkitPuis nous allons editer un document text avec toutes les techniques de detection de chkrootkit qui contiendra les codes suivants:
aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp OSX_RSPLUG amd basename biff chfn chsh cron crontab date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w writeInformation issue de l'option -l de chkrootkit qui liste les différentes techniques d'analyse.
Enregistrez le fichier sous le nom chk_config.txt.
Puis nous allons céer un petit script bash, nommer anti-rootkit, afin de tester notre système:
#!/bin/bash
for var in $(cat /chemin/vers/chk_config.txt)
do
sudo chkrootkit ${var} | egrep -v 'nothing found|not infected|nothing del|not found'
wait $!
echo ${var} 'terminate'
doneRendez le script anti-rootkit exécutable
chmod u+x anti-rootkitet disposer le dans un dossier enregistrez dans la variable PATH qui contient les chemins des dossier dans lesquelles on peut exécuter des script bash.
Si vous n'en avez pas créer un dossier et taper:
echo "export PATH=/chermin/vers/le/dossier:$PATH" >> ~/.bashrc #ajout du chemin dans le fichier de configuration /.bashrc
. ~/.bashrc #sert a rendre cette modification permanente noubliez pas l'espace qui est le séparateur de LinuxVous pouvez lancer anti-rootkit.
Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !
Hors ligne
#2 Le 20/10/2011, à 09:46
- ubuntuforce
Re : [astuce] detection avec chkrootkit
Bon après avoir exécuter anti-rootkit j'ai deux positif:
Checking `lkm'...
You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
chkdirs: nothing detectedEt:
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[8761], /sbin/dhclient3[14375])
sniffer terminateMais après detection que faire ?
Que signifie les chiffres après dhclient3 ?
Analyse de /sbin avec clamav ne donne rien...
Si vous savez quoi entreprendre si l'on est infecter par un troyen ou un sniffer, a part formater, Merci de poster.
PS: Laisser un petit commentaire pour petite astuce de detection de rootkit svp.
Merci pour vos réponses.
Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !
Hors ligne