JonixLUG Forum

Tecnicherie Generali => Sicurezza Informatica => OS => Topic started by: davenull on November 14, 2016, 06:42:30 PM

Title: [TOOL] chkrootkit
Post by: davenull on November 14, 2016, 06:42:30 PM

Questo programma è presente in tutte le distro, quindi su una distro Debian-Like possiamo installarlo con il comando:

Code: You are not allowed to view links. Register or Login

sudo apt-get install chkrootkit
serve a trovare le rootkit più conosciute nel vostro sistema operativo. Per utilizzarlo basta lanciarlo da root scrivendo:

Code: You are not allowed to view links. Register or Login

chkrootkit
se volete salvare l'output su un file (in questo caso lo chiamiamo proprio output.txt) scriviamo:

Code: You are not allowed to view links. Register or Login

chkrootkit > output.txt
questo è il sito ufficiale del progetto: http://www.chkrootkit.org/

Sui repository di Debian troviamo sempre una versione più vecchia del programma, quindi andiamo sulla pagina di download del sito ufficiale http://www.chkrootkit.org/download/
e scarichiamo il file "chkrootkit latest Source tarball" con il comando:

Code: You are not allowed to view links. Register or Login

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
Adesso estraiamo l'archivio digitando:

Code: You are not allowed to view links. Register or Login

tar -xvzf chkrootkit.tar.gz
Nel momento in cui sto scrivendo l'ultima versione è la 0.51, quindi mi ritroverò una cartella chiamata chkrootkit-0.51 ed al suo interno c'è già il file compilato in C chiamato appunto chkrootkit, ed ovviamente va eseguito da root dato che scansiona le cartelle di sistema.

Vi consiglio di utilizzare sempre le ultime versioni di questi programmi perchè contengono le definizioni delle nuove rootkit in circolazione.

Title: Re:[TOOL] chkrootkit
Post by: NebulasIT on November 14, 2016, 06:53:10 PM

Grazie per l'input Dave  ;)

Title: Re:[TOOL] chkrootkit
Post by: lynx on November 19, 2016, 10:28:27 AM

e ovviamente andrebbe schedulato in cron per un controllo periodico.
Insieme a chkrootkit uso rkhunter, fa il diff dei files di sistema e segnala quelli sospetti.
Produce molti falsi positivi, quindi è più un tool per analisi.
si può avviare con

Code: You are not allowed to view links. Register or Login

#rkhunter -c --rwo --skper fare un check segnalando solo i warnings e saltando la conferma (press any key) ad ogni fine scansione

Title: Re:[TOOL] chkrootkit
Post by: NebulasIT on November 19, 2016, 10:57:37 AM

Perfetto, grazie  :D

Title: Re:[TOOL] chkrootkit
Post by: davenull on December 13, 2016, 11:42:25 PM

farò un articolo anche su rkhunter, intanto ho aggiornato il thread spiegando come utilizzare l'ultima versione di chkrootkit. quella presente nei repository di Debian è troppo vecchia e quindi mancano molte definizioni degli ultimi rootkit in circolazione.