lundi 25 juin 2012

Détecter les Rootkits sur linux



Je vais vous présenter un chasseur de rootkits (enfin quand je dis chasseur, il n'en porte que le nom), car le but de Rkhunter, et de détecter si votre machine linux et infecter ou non par un rootkit.

Comme beaucoup de Linuxien disent "Les virus c'est pour windows mais pas pour nous,Linux c'est garantie 100% clean" etc etc...

Je pense qu'il et bon de rappeler qu’aucun système au monde n'est fiable a 100% et je pense que Kevin Mitnick l'a démontrer de nombreuse fois.

Revenons a notre sujet, a savoir rkhunter, pourquoi l'installer car comme dit plus haut aucun système n'est clean et qu'un backdoor et si vite arrivé sur vos petit desktop.

Pour l'installation rien de plus simple:

sudo apt-get install -y rkhunter

L'utilisation est simple:

sudo rkhunter --checkall

Avant de lancer pour la premier fois il et bon de mettre votre programme  a jour avec un coup de:

sudo rkhunter --update

Si vous avez des faux-positif avec ces fichiers:

/usr/sbin/unhide 
/usr/sbin/unhide-linux26

Vous lancez cette commande qui devrait mettre a jour votre BD:

sudo rkhunter --propupd

Je pense avoir tout dis a ce sujet et dans le cas contraire je ferai un autre billet dessus.
Je rappelle simplement que rkhunter n’élimine en rien un rootkit si vous en étes infecter, il ne fait que le signaler.

4 commentaires:

  1. Comment il fait pour detecter ces rootkits ?

    RépondreSupprimer
    Réponses
    1. Il vérifie la somme md5 de certain fichiers.
      Donc sa donne une indication, mais il se peut que de nouveau rootkit clone cette fameuse somme md5 (enfin reste a prouver),car si tu change même un espace dans un fichier la somme md5 DOIT changer.

      Supprimer
    2. Les somme MD5 ne sont pas si fiable que sa, même si sa change, on peut trouver des chaine de caractère qui on la même sommes.
      Heurseusement que cette probabilté est extremmeent faible lorsqu'il s'agit de ce genre de choses.

      Supprimer
    3. Oui c'est pour sa qu'il faut mettre assez souvent la BD a jour.

      Supprimer