Ceci est une ancienne révision du document !
Présentation Rootkit
Un rootkit est un programme qui maintient un accès frauduleux à un système informatique et cela le plus discrètement possible, leurs détections est difficile, parfois même impossible tant que le système d'exploitation fonctionne. Certain rootkit résiste même au formatage car il peuvent s'introduire directement dans le BIOS. Ils existent sous Linux depuis longtemps (car le noyau est ouvert et modulaire).
Il existe néanmoins des programmes pour les détecter, ils contrôlent notamment que les fichiers n'ont pas été modifiés en comparent les hash avec une base de données en ligne.
Installation
rkhunter :
Site officiel : http://www.rootkit.nl/
Cliquer ici pour installer rkhunter, ou en ligne de commande :
sudo apt-get install rkhunter
Mise à jour du programme :
sudo rkhunter --update
Ensuite lancez RootKit Hunter :
sudo rkhunter --check
Analysez sérieusement vos résultats, surtout la partie "Rootkit checks".
Notamment :
/usr/sbin/unhide
/usr/sbin/unhide-linux26
qui peuvent déclencher un [ Warning ]
Dans ce cas lancez :
sudo rkhunter --propupd
Voir l'article sur rkhunter pour plus d'informations.
chkrootkit
Site officiel : http://www.chkrootkit.org/
Cliquer ici pour installer chkrootkit, ou en ligne de commande :
sudo apt-get install chkrootkit
Ensuite lancez chkrootkit :
sudo chkrootkit
lynis
Site officiel : http://www.rootkit.nl/projects/lynis.html
Cliquer ici pour installer lynis, ou en ligne de commande :
sudo apt-get install lynis
Mise à jour de la base de donnée:
sudo lynis --check-update
Lancer un scan :
lynis --check-all