JonixLUG Forum
Tecnicherie Generali => Sicurezza Informatica => OS => Topic started by: davenull on November 14, 2016, 06:42:30 PM
-
Questo programma è presente in tutte le distro, quindi su una distro Debian-Like possiamo installarlo con il comando:
sudo apt-get install chkrootkit
serve a trovare le rootkit più conosciute nel vostro sistema operativo. Per utilizzarlo basta lanciarlo da root scrivendo:
chkrootkit
se volete salvare l'output su un file (in questo caso lo chiamiamo proprio output.txt) scriviamo:
chkrootkit > output.txt
questo è il sito ufficiale del progetto: http://www.chkrootkit.org/
Sui repository di Debian troviamo sempre una versione più vecchia del programma, quindi andiamo sulla pagina di download del sito ufficiale http://www.chkrootkit.org/download/
e scarichiamo il file "chkrootkit latest Source tarball" con il comando:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
Adesso estraiamo l'archivio digitando:
tar -xvzf chkrootkit.tar.gz
Nel momento in cui sto scrivendo l'ultima versione è la 0.51, quindi mi ritroverò una cartella chiamata chkrootkit-0.51 ed al suo interno c'è già il file compilato in C chiamato appunto chkrootkit, ed ovviamente va eseguito da root dato che scansiona le cartelle di sistema.
Vi consiglio di utilizzare sempre le ultime versioni di questi programmi perchè contengono le definizioni delle nuove rootkit in circolazione.
-
Grazie per l'input Dave ;)
-
e ovviamente andrebbe schedulato in cron per un controllo periodico.
Insieme a chkrootkit uso rkhunter, fa il diff dei files di sistema e segnala quelli sospetti.
Produce molti falsi positivi, quindi è più un tool per analisi.
si può avviare con
#rkhunter -c --rwo --sk
per fare un check segnalando solo i warnings e saltando la conferma (press any key) ad ogni fine scansione
-
Perfetto, grazie :D
-
farò un articolo anche su rkhunter, intanto ho aggiornato il thread spiegando come utilizzare l'ultima versione di chkrootkit. quella presente nei repository di Debian è troppo vecchia e quindi mancano molte definizioni degli ultimi rootkit in circolazione.