06.13.07

Contrôle des rootkits : ma machine s’est-elle fait cyber-hackée-chuidanlamerde ?

Posted in Debian at 12:28 pm by michauko

Des fois qu’un gros [pas] malin ait trouvé un accès à votre machine Linux puis une faille (ou un accès root), s’il veut faire le vilain avec, il y a de fortes chances qu’il modifie certains binaires systèmes pour masquer sa présence et celle de ses processus qu’il voudrait masquer.
Si le mec est doué (plus doué que vous), vous ne verrez jamais rien. Si c’est un imbécile qui a juste trouvé votre compte root, il risque de mal se cacher. Vous pouvez installer l’outil chkrootkit pour vérifier la présence de “Root Kits” (programmes systèmes modifiés pour protéger sa précence, exemple : “ps” ne montrera pas tel ou tel programme).

Sous Debian, installez l’outil par la commande suivante :

apt-get install chkrootkit

Quelques questions sont posées, voici mon avis :

“Faut-il lancer chkrootkit quotidiennement” : OUI.

C’est l’intérêt d’un tel programme : espérer être alerté à temps si un vilain commence à traficoter sur votre système.

“Options à utiliser pour la tâche quotidienne” : -q.

Si vous vous pouvez la question, c’est qu’il vous faut mettre “-q”, sinon vous sauriez

“Faut-il signaler seulement les problèmes différents de ceux de la veille” : OUI.

Attention : il faut bien réaliser que les logs sont alors cumulatifs. Tant que tout va bien, c’est bon. Mais le jour où vous avez quelque chose de suspect, souvenez-vous des logs des jours précédents pour comprendre ce qu’il se passe.

Voilà, vous pouvez aussi lancer à la main le programme pour vous faire une première idée, et espérer être vierge de tout problème :

mamachine:~# chkrootkit
ROOTDIR is `/’
Checking `amd’… not found
Checking `basename’… not infected
Checking `biff’… not found
Checking `chfn’… not infected
Checking `chsh’… not infected
Checking `cron’… not infected
Checking `crontab’… not infected
Checking `date’… not infected
Checking `du’… not infected
Checking `dirname’… not infected
Checking `echo’… not infected
Checking `egrep’… not infected
Checking `env’… not infected
Checking `find’… not infected
Checking `fingerd’… not found
Checking `gpm’… not found
Checking `grep’… not infected
Checking `hdparm’… not found
Checking `su’… not infected
Checking `ifconfig’… not infected
Checking `inetd’… not infected
Checking `inetdconf’… not infected
Checking `identd’… not found
Checking `init’… not infected
Checking `killall’… not infected
Checking `ldsopreload’… not infected
Checking `login’… not infected
Checking `ls’… not infected
Checking `lsof’… not infected
Checking `mail’… not infected
Checking `mingetty’… not found
Checking `netstat’… not infected
Checking `named’… not infected
Checking `passwd’… not infected
Checking `pidof’… not infected
Checking `pop2′… not found
Checking `pop3′… not found
Checking `ps’… not infected
Checking `pstree’… not infected
Checking `rpcinfo’… not infected
Checking `rlogind’… not found
Checking `rshd’… not found
Checking `slogin’… not infected
Checking `sendmail’… not infected
Checking `sshd’… not infected
Checking `syslogd’… not infected
Checking `tar’… not infected
Checking `tcpd’… not infected
Checking `tcpdump’… not infected
Checking `top’… not infected
Checking `telnetd’… not found
Checking `timed’… not found
Checking `traceroute’… not infected
Checking `vdir’… not infected
Checking `w’… not infected
Checking `write’… not infected
Checking `aliens’… no suspect files
Searching for sniffer’s logs, it may take a while… nothing found
Searching for HiDrootkit’s default dir… nothing found
Searching for t0rn’s default files and dirs… nothing found
Searching for t0rn’s v8 defaults… nothing found
Searching for Lion Worm default files and dirs… nothing found
Searching for RSHA’s default files and dir… nothing found
Searching for RH-Sharpe’s default files… nothing found
Searching for Ambient’s rootkit (ark) default files and dirs… nothing found
Searching for suspicious files and dirs, it may take a while…
/usr/lib/iceweasel/.autoreg
/lib/init/rw/.ramfs

Searching for LPD Worm files and dirs… nothing found
Searching for Ramen Worm files and dirs… nothing found
Searching for Maniac files and dirs… nothing found
Searching for RK17 files and dirs… nothing found
Searching for Ducoci rootkit… nothing found
Searching for Adore Worm… nothing found
Searching for ShitC Worm… nothing found
Searching for Omega Worm… nothing found
Searching for Sadmind/IIS Worm… nothing found
Searching for MonKit… nothing found
Searching for Showtee… nothing found
Searching for OpticKit… nothing found
Searching for T.R.K… nothing found
Searching for Mithra… nothing found
Searching for OBSD rk v1… nothing found
Searching for LOC rootkit… nothing found
Searching for Romanian rootkit… nothing found
Searching for Suckit rootkit… nothing found
Searching for Volc rootkit… nothing found
Searching for Gold2 rootkit… nothing found
Searching for TC2 Worm default files and dirs… nothing found
Searching for Anonoying rootkit default files and dirs… nothing found
Searching for ZK rootkit default files and dirs… nothing found
Searching for ShKit rootkit default files and dirs… nothing found
Searching for AjaKit rootkit default files and dirs… nothing found
Searching for zaRwT rootkit default files and dirs… nothing found
Searching for Madalin rootkit default files… nothing found
Searching for Fu rootkit default files… nothing found
Searching for ESRK rootkit default files… nothing found
Searching for rootedoor… nothing found
Searching for ENYELKM rootkit default files… nothing found
Searching for anomalies in shell history files… nothing found
Checking `asp’… not infected
Checking `bindshell’… not infected
Checking `lkm’… chkproc: nothing detected
Checking `rexedcs’… not found
Checking `sniffer’… lo: not promisc and no packet sniffer sockets
eth1: PACKET SNIFFER(/sbin/dhclient[1781])
Checking `w55808′… not infected
Checking `wted’… chkwtmp: nothing deleted
Checking `scalper’… not infected
Checking `slapper’… not infected
Checking `z2′… chklastlog: nothing deleted

Au moins vous savez ce que l’outil recherche.

Permalink