Installation et utilisation de Rootkit Hunter
rkhunter (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare les hash, SHA-256, SHA-512, SHA1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Ainsi, il peut détecter les répertoires généralement utilisés par les rootkit, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à GNU/Linux et FreeBSD.
Voyons ensemble l'installation et l'utilisation de cet outil.
Sous Debian, vous pouvez retrouver la dernière version de rkhunter dans le dépôt officiel.
Dans notre exemple, l'installation aura été faites sous Debian Wheezy.
Vous pouvez aussi installer rkhunter depuis l'archive tgz que vous pouvez retrouver à lui de ces URL :
http://rkhunter.sourceforge.net/ ou rkhunter/rkhunter-1.4.0.tar.gz
La dernière version à ce jour est la 1.4.0
- Installation sous une Debian Wheezy
- Installation depuis l'archive tgz
- rootkits, portes dérobées et exploits détectés
Installation sous une Debian Wheezy
- libruby1.8
- ruby1.8
- unhide.rb
$ sudo apt-get update $ sudo apt-get install rkhunter
$ sudo rkhunter --update [ Rootkit Hunter version 1.4.0 ] Checking rkhunter data files... Checking file mirrors.dat [ No update ] Checking file programs_bad.dat [ No update ] Checking file backdoorports.dat [ No update ] Checking file suspscan.dat [ No update ] Checking file i18n/cn [ No update ] Checking file i18n/de [ No update ] Checking file i18n/en [ No update ] Checking file i18n/zh [ No update ] Checking file i18n/zh.utf8 [ No update ] $ sudo rkhunter -c
Lors de l'analyse de votre système rkhunter va vous solliciter à plusieurs reprises en vous demandant d'appuyer sur la touche <Entrée> après chaque type d'analyse.
A la fin de l'analyse rkhunter récapitule l'ensemble des vérifications faites et potentiellement les problèmes rencontrés.
System checks summary ===================== File properties checks... Files checked: 135 Suspect files: 1 Rootkit checks... Rootkits checked : 307 Possible rootkits: 0 Applications checks... All checks skipped The system checks took: 3 minutes and 24 seconds All results have been written to the log file (/var/log/rkhunter.log) One or more warnings have been found while checking the system. Please check the log file (/var/log/rkhunter.log)
Pour de plus amples informations ou personnalisation lors de l'exécution de l'analyse de votre système, je vous conseille de taper la commande suivante :
$ sudo rkhunter --help
Installation depuis l'archive tgz
$ tar -xzvf rkhunter-1.4.0.tar.gz $ cd rkhunter-1.4.0 $ sudo ./installer.sh --install
$ sudo rkhunter --update $ sudo rkhunter -c
Rootkits, portes dérobées et exploits détectés
Voici une liste non exhaustive des différents problèmes que peut détecter rkhunter :
55808 Trojan - Variant A
ADM W0rm
AjaKit
aPa Kit
Apache Worm
Ambient (ark) Rootkit
Balaur Rootkit
BeastKit
beX2
BOBKit
CiNIK Worm (Slapper.B variant)
Danny-Boy's Abuse Kit
Devil RootKit
Dica
Dreams Rootkit
Duarawkz Rootkit
Flea Linux Rootkit
FreeBSD Rootkit
Fuck`it Rootkit
GasKit
Heroin LKM
HjC Rootkit
ignoKit
ImperalsS-FBRK
Irix Rootkit
Kitko
Knark
Li0n Worm
Lockit / LJK2
mod_rootme (Apache backdoor)
MRK
Ni0 Rootkit
NSDAP (RootKit for SunOS)
Optic Kit (Tux)
Oz Rootkit
Portacelo
R3dstorm Toolkit
RH-Sharpe's rootkit
RSHA's rootkit
Scalper Worm
Shutdown
SHV4 Rootkit
SHV5 Rootkit
Sin Rootkit
Slapper
Sneakin Rootkit
Suckit
SunOS Rootkit
Superkit
TBD (Telnet BackDoor)
TeLeKiT
T0rn Rootkit
Trojanit Kit
URK (Universal RootKit)
VcKit
Volc Rootkit
X-Org SunOS Rootkit
zaRwT.KiT Rootkit
et... détecte les sniffers, backdoors comme :
Anti Anti-sniffer
LuCe LKM
THC Backdoor