CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

Chkrootkit

Posted by CercLL sur 21 août 2015

Chkrootkit est un scanneur de rootkit pour système UNIX. Il permet de vérifier qu’un système n’a pas été compromis. C’est un outil de sécurité indispensable pour un administrateur.

1. Présentation

Chkrootkit, dont le développement a débuté en 1997, est publié sous licence GNU/GPL et est disponible pour les environnements UNIX, GNU/Linux, BSD, Solaris, et Mac OSX. Il cherche sur le système cible des traces d’une attaque et la présence de rootkit.

2. Interface

Présent sur les dépôts de la plus part des distributions GNU/Linux, il s’installe simplement avec le gestionnaire de paquets, et fonctionne en ligne de commande. Précision importante : il faut disposer d’un compte « root ».

3. Fonctionnement

Afin de vérifier que le système n’a pas été infecté, Chkrootkit effectue plusieurs vérifications :

Des fichiers exécutables du système ont-ils été modifiés ?
La carte réseau est-elle en mode « promiscuous » (permet d’accepter tous les paquets réseau) ?
Des vers LKM (Loadable Kernel Module) sont-ils présents ?
Des entrées de « lastlogs » ont-elles été effacées ?

4. Scan

Pour lancer un scan, il suffit de taper dans une console, en root :

chkrootkit

Pour afficher l’aide :

chkrootkit -h

Pour voir les tests qui vont être effectués :

chkrootkit -l

Lors du balayage (scan), on peut voir les tests effectués ainsi que leurs résultats. Chkrootkit fait partie des logiciels de base pour un administrateur. Il est très utile pour vérifier l’intégrité d’un poste, même si cela n’est évidemment pas suffisant et qu’il faut avoir recours à une véritable politique de sécurité.

Source toolinux.com

Sorry, the comment form is closed at this time.

 
%d blogueurs aiment cette page :