Présentation Rootkit

Un rootkit est un programme qui maintient un accès frauduleux à un système informatique et cela le plus discrètement possible, leur détection est difficile, parfois même impossible tant que le système d'exploitation fonctionne. Certains rootkits résistent même au formatage car il peuvent s'introduire directement dans le BIOS. Ils existent sous Linux depuis longtemps (car le noyau est ouvert et modulaire).

Un Webkit quant à lui permet de prendre l'accès d'une machine via une faille puis par port http et de prendre l'accès sur le système.

Il existe néanmoins des programmes pour les détecter, nous allons les voir ci-dessous.

rkhunter

Site officiel

Contrôle notamment que les fichiers n'ont pas été modifiés en comparent les hash avec une base de données en ligne. Pour l'utiliser installez le paquet rkhunter.

Mise à jour du programme :

sudo rkhunter --update

Ensuite lancez RootKit Hunter (la commande ci-dessous n'affiche que les avertissements) :

sudo rkhunter --checkall --report-warnings-only

Analysez sérieusement vos résultats.

Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.
Notamment :
/usr/sbin/unhide
/usr/sbin/unhide-linux26
qui peuvent déclencher un [ Warning ]

Dans ce cas lancez :

sudo rkhunter --propupd

Voir l'article sur rkhunter pour plus d'informations.

chkrootkit

Site officiel

Vérifie que les fichiers exécutables du système n'ont pas été modifiés, que la carte réseau n'est pas en mode "promiscuous" et que des vers LKM (Loadable Kernel Module) ne sont pas présents. Pour l'utiliser installez le paquet chkrootkit.

Ensuite lancez chkrootkit :

sudo chkrootkit -q

Lynis

Site officiel

Contrôle notamment le pare-feu, que les certificats SSL ne sont pas périmés, l'intégrité des fichiers. Pour l'utiliser installez le paquet lynis.

Mise à jour de la base de données :

sudo lynis --check-update

Lancer un scan (vérification totale sans action utilisateur) :

sudo lynis --check-all -Q

Tiger

Site officiel

Pour l'utiliser installez le paquet tiger.
Lancez avec des droits root :

sudo tiger 

OSSEC : + Rootcheck

PHP Shell Detector

Contributeurs : HacKurx,Psychederic,

  • rootkit.txt
  • Dernière modification: Le 28/09/2017, 09:21
  • (modification externe)