chkrootkit : vérifier la présence de rootkit sur votre linux

2009 May 9
tags:
by ekevin

chkrootkit est une application permettant de vérifier la présence de rootkit sur votre linux. Un rootkit est un programme permettant de garder une porte ouverte sur votre système. Ce qui est généralement utilisé par les pirates.

Garder une porte secrète peut servir à diverses choses. Le pirate peut avoir un besoin d’un service sur votre machine pour envoyer par exemple des spams, récupérer des logs, contenant des informations sensibles…

chkrootkit vous permettra de faire un scan régulier de votre machine et détecter d’éventuels attaques. Pour celà il faut au minimum savoir comment utiliser ses fonctions.

chkrootkit se trouve en général dans les dépôts de votre distribution de linux, par exemple sous debian et ubuntu, il suffira de faire apt-get install chkrootkit.

Autrement il est possible de télécharger et d’installer rapidement chkrootkit :

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvf chkrootkit.tar.gz
cd chkrootkit*
make sense

Il faudra posséder les droits du super utilisateur pour lancer le programme

sudo ./chkrootkit

D’autres options sont disponibles et c’est ici que le programme devient intéressant. Un rootkit peut avoir compromis un des programmes de base utilisé par votre distribution, rendant de ce fait le scan inutile. chkrootkit est, si vous regardé attentivement, un script bash utilisant des binaires de votre distribution.

chkrootkit possède une option permettant de préciser un autre chemin pour utiliser ces binaires :

./chkrootkit -p path

Le chemin peut par exemple être un disque extérieur que vous aurez monté.

Il est possible également de programmer grâce au cron un rapport quotidien de chkrootkit qui vous sera envoyé par mail.

sudo crontab -e

En ajoutant la ligne suivante et en modifiant le chemin répertoire de chkrootkit ainsi que le destinataire du mail (il est possible de faire which chkrootkit pour connaître son dossier, si vous l’avez installé par les dépôts) :

0 3 * * * (cd /usr/local/chkrootkit; ./chkrootkit 2>&1 | mail -s "chkrootkit output" me@example.com

from → linux, tutoriaux

2 Responses leave one →
  1. Pierre-Yves Dubreucq permalink
    May 11, 2009

    Bien le bonjour,
    Dans le même genre, il y a rkhunter aussi qui est pas mal, ça génére des rapports qui peuvent être envoyé par mail et il y a une colorisation syntaxique en mode console ;)
    rkhunter teste également, d’autres petits détails comme par exemple si l’accès est permis en root pour les connections ssh ;)
    Pour plus d’informations :
    http://rkhunter.sourceforge.net/
    Bonne journée et merci pour l’article ;)

  2. ekevin permalink*
    May 12, 2009

    Merci Pierre-Yves pour la précision sur rkhunter et pour le lien.

    A savoir rkhunter est un projet qui est mis à jour, contrairement à chkrootkit.

    Il est donc intéressant pour les lecteurs de suivre le lien.

    Bonne journée !

Leave a Reply

Note: You can use basic XHTML in your comments. Your email address will never be published.

Subscribe to this comment feed via RSS