chkrootkit : vérifier la présence de rootkit sur votre linux

Garder une porte secrète peut servir à diverses choses. Le pirate peut avoir un besoin d’un service sur votre machine pour envoyer par exemple des spams, récupérer des logs, contenant des informations sensibles…

chkrootkit vous permettra de faire un scan régulier de votre machine et détecter d’éventuels attaques. Pour celà il faut au minimum savoir comment utiliser ses fonctions.

chkrootkit se trouve en général dans les dépôts de votre distribution de linux, par exemple sous debian et ubuntu, il suffira de faire apt-get install chkrootkit.

Autrement il est possible de télécharger et d’installer rapidement chkrootkit :

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvf chkrootkit.tar.gz
cd chkrootkit*
make sense

Il faudra posséder les droits du super utilisateur pour lancer le programme

sudo ./chkrootkit

D’autres options sont disponibles et c’est ici que le programme devient intéressant. Un rootkit peut avoir compromis un des programmes de base utilisé par votre distribution, rendant de ce fait le scan inutile. chkrootkit est, si vous regardé attentivement, un script bash utilisant des binaires de votre distribution.

chkrootkit possède une option permettant de préciser un autre chemin pour utiliser ces binaires :

./chkrootkit -p path

Le chemin peut par exemple être un disque extérieur que vous aurez monté.

Il est possible également de programmer grâce au cron un rapport quotidien de chkrootkit qui vous sera envoyé par mail.

sudo crontab -e

En ajoutant la ligne suivante et en modifiant le chemin répertoire de chkrootkit ainsi que le destinataire du mail (il est possible de faire which chkrootkit pour connaître son dossier, si vous l’avez installé par les dépôts) :

0 3 * * * (cd /usr/local/chkrootkit; ./chkrootkit 2>&1 | mail -s "chkrootkit output" [email protected]