Faire un scan anti rootkit sur son système linux

Un moyen simple et rapide pour s’assurer qu’aucun rootkit n’a pris le contrôle de votre système linux. il s’agit de faire un scan complet avec les spécialistes de la traque de rootkit  à savoir chkrootkit et rootkit hunter.

  • Installer le paquet chkrootkit
# apt-get install chkrootkit
  • et ensuite, lancer une analyse par la commande :
# chkrootkit
  • Installer Rootkit hunter
# apt-get install rkhunter
  • lancer le scan
rkhunter --check

Pour creuser un peu plus, analysez les logs dans /var/log/rkhunter.log

Si aucun rootkit n’est trouvé par ces deux scans, vous êtes presque tranquille.
Des false positive peuvent être indiqués sur certains fichiers, sans conséquence, par exemple :

Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit

Ici, il s’agit d’un false positive de rkhunter déjà mentionné sur debian.org

En cas de découverte d’un rootkit, les alternatives sont peu nombreuses. Bien souvent, une réinstallation au propre du système est la meilleure solution.

Plus d’infos
Chkrootkit : Chkrootkit.org
Rkhunter : RootKit Hunter

Pour aller plus loin…

Une réflexion au sujet de « Faire un scan anti rootkit sur son système linux »

  1. Ping : Faire un scan de rootkit sur son système linux | Open source | Actualités de l'open source | Scoop.it

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s