Détecter les rootkits avec Chkrootit
Un rootkit est un programme permettant à un pirate informatique par exemple de garder un accès à une machine à l'insu de son administrateur. Particulièrement difficile à déceler, ce programme nécessite l'accès administrateur (root) ainsi que plusieurs conditions comme la présence d'une faille au sein du système ou encore l'acquisition des droits root. C'est à partir de l'accès administrateur que celui-ci s'avère dangereux.
Ce guide vous permettra simplement de détecter la présence éventuelle de rootkits dans votre système.
Pour cela nous allons utiliser l'outil libre chkrootkit :
Avant de commencer, il faut installer chkrootkit présent dans le dépôt officiel de Debian :
# aptitude install chkrootkit
Pour l'exécuter, il suffit simplement de taper le nom du programme (en root) :
# chkrootkit
Ce qui donne un résultat sous forme de liste :
# chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
[...]
Dans certains cas, notamment lorsqu'il faut protéger l'intégrité d'une machine dite importante, il est recommandé d'installer la dernière version de chkrootkit en se procurant les sources depuis le site officiel.
# cd /usr/local/src
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
Décompression de l'archive et compilation :
# cd /usr/local
# tar -zxvf /usr/local/src/chkrootkit.tar.gz
# cd /usr/local/chkrootkit
# make sense
Lancement de chkrootkit :
# ./chkrootkit
