Installation et utilisation de Rootkit Hunter

Rédigé par Slauncha Aucun commentaire
Classé dans : Système, Sécurité, Debian, Howto Mots clés : rootkit

rkhunter (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare les hash, SHA-256, SHA-512, SHA1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Ainsi, il peut détecter les répertoires généralement utilisés par les rootkit, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à GNU/Linux et FreeBSD.

Voyons ensemble l'installation et l'utilisation de cet outil.

Sous Debian, vous pouvez retrouver la dernière version de rkhunter dans le dépôt officiel.

Dans notre exemple, l'installation aura été faites sous Debian Wheezy.

Vous pouvez aussi installer rkhunter depuis l'archive tgz que vous pouvez retrouver à lui de ces URL :

http://rkhunter.sourceforge.net/ ou rkhunter/rkhunter-1.4.0.tar.gz


La dernière version à ce jour est la 1.4.0

 

Installation sous une Debian Wheezy


 
Installation
 
L'installation de ce package apportera les dépendances vers les packages suivants :
  • libruby1.8
  • ruby1.8
  • unhide.rb
 
$ sudo apt-get update
$ sudo apt-get install rkhunter
Utilisation
$ sudo rkhunter --update 
[ Rootkit Hunter version 1.4.0 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                        [ No update ]
  Checking file backdoorports.dat                        [ No update ]
  Checking file suspscan.dat                               [ No update ]
  Checking file i18n/cn                                       [ No update ]
  Checking file i18n/de                                       [ No update ]
  Checking file i18n/en                                       [ No update ]
  Checking file i18n/zh                                       [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]


$ sudo rkhunter -c

Lors de l'analyse de votre système rkhunter va vous solliciter à plusieurs reprises en vous demandant d'appuyer sur la touche <Entrée> après chaque type d'analyse.

A la fin de l'analyse rkhunter récapitule l'ensemble des vérifications faites et potentiellement les problèmes rencontrés.

System checks summary
=====================

File properties checks...
    Files checked: 135
    Suspect files: 1

Rootkit checks...
    Rootkits checked : 307
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 3 minutes and 24 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Pour de plus amples informations ou personnalisation lors de l'exécution de l'analyse de votre système, je vous conseille de taper la commande suivante :

$ sudo rkhunter --help

 

Installation depuis l'archive tgz


Une fois l'archive téléchargée, veuillez procéder comme suit :
 
Installation
$ tar -xzvf rkhunter-1.4.0.tar.gz
$ cd rkhunter-1.4.0
$ sudo ./installer.sh --install
Utilisation
$ sudo rkhunter --update 
$ sudo rkhunter -c

 

Rootkits, portes dérobées et exploits détectés


Voici une liste non exhaustive des différents problèmes que peut détecter rkhunter :

55808 Trojan - Variant A
ADM W0rm
AjaKit
aPa Kit
Apache Worm
Ambient (ark) Rootkit
Balaur Rootkit
BeastKit
beX2
BOBKit
CiNIK Worm (Slapper.B variant)
Danny-Boy's Abuse Kit
Devil RootKit
Dica
Dreams Rootkit
Duarawkz Rootkit
Flea Linux Rootkit
FreeBSD Rootkit
Fuck`it Rootkit
GasKit
Heroin LKM
HjC Rootkit
ignoKit
ImperalsS-FBRK
Irix Rootkit
Kitko
Knark
Li0n Worm
Lockit / LJK2
mod_rootme (Apache backdoor)
MRK
Ni0 Rootkit
NSDAP (RootKit for SunOS)
Optic Kit (Tux)
Oz Rootkit
Portacelo
R3dstorm Toolkit
RH-Sharpe's rootkit
RSHA's rootkit
Scalper Worm
Shutdown
SHV4 Rootkit
SHV5 Rootkit
Sin Rootkit
Slapper
Sneakin Rootkit
Suckit
SunOS Rootkit
Superkit
TBD (Telnet BackDoor)
TeLeKiT
T0rn Rootkit
Trojanit Kit
URK (Universal RootKit)
VcKit
Volc Rootkit
X-Org SunOS Rootkit
zaRwT.KiT Rootkit

et... détecte les sniffers, backdoors comme :
Anti Anti-sniffer
LuCe LKM
THC Backdoor

Retour au début de l'article

Écrire un commentaire

Quelle est le premier caractère du mot nuh79j6q ?

Fil RSS des commentaires de cet article