Di solito, quando rilevato la presenza di un rootkit, la vittima deve reinstallare il sistema operativo e l'hardware nuovo, analizzare i file da trasferire alla sostituzione e nella sostituzione hardware nel caso peggiore sarà necessaria.È importante evidenziare la possibilità di falsi positivi, questo è il problema principale di Chkrootkit, quindi quando viene rilevata una minaccia, la raccomandazione è quella di eseguire ulteriori alternative prima di adottare misure, questo tutorial esplorerà brevemente anche Rkhunter come alternativa. È anche importante dire che questo tutorial è ottimizzato per gli utenti di Distribuzioni Linux Debian e basate, l'unica limitazione per gli altri utenti di distribuzioni è la parte di installazione, l'uso di Chkrootkit è lo stesso per tutte le distruzioni.
Poiché i rootkit hanno una varietà di modi per raggiungere i suoi obiettivi nascondendo software dannoso, Chkrootkit offre una varietà di strumenti per permettersi questi modi. Chkrootkit è una suite di strumenti che include il programma principale Chkrootkit e biblioteche aggiuntive che sono elencate di seguito:
chkrootkit: Programma principale che controlla i binari del sistema operativo per le modifiche rootkit per imparare se il codice è stato adulterato.
ifpromisc.C: controlla se l'interfaccia è in modalità promiscua. Se un'interfaccia di rete è in modalità promiscua, può essere utilizzata da un attaccante o da un software dannoso per catturare il traffico di rete per analizzarlo successivamente.
Chklastlog.C: controlla le eliminazioni di Lastlog. Lastlog è un comando che mostra informazioni sugli ultimi accessi. Un utente malintenzionato o rootkit può modificare il file per evitare il rilevamento se il sistema controlla questo comando per apprendere le informazioni sugli accessi.
chkwtmp.C: controlli per le eliminazioni WTMP. Allo stesso modo, allo script precedente, CHKWTMP controlla il file WTMP, che contiene informazioni sugli accessi degli utenti per provare a rilevare le modifiche su di esso nel caso in cui un rootkit abbia modificato le voci per prevenire il rilevamento delle intrusioni.
check_wtmpx.C: Questo script è uguale a quello sopra ma Solaris Systems.
chkproc.C: Controlla i segni di Trojan all'interno di LKM (moduli del kernel carico).
chkdirs.C: ha la stessa funzione di quanto sopra, controlla i Trojan all'interno dei moduli del kernel.
stringhe.C: sostituzione delle stringhe rapide e sporche che mirano a nascondere la natura del rootkit.
chkutmp.C: Questo è simile a Chkwtmp ma controlla invece il file UTMP.
Tutti gli script sopra menzionati vengono eseguiti quando eseguiamo chkrootkit.
Per iniziare a installare ChkrootKit su Distribuzioni Linux Debian e basate:
# APT Installa ChkrootKit -y
Una volta installato per eseguire Esegui:
# sudo chkrootkit
Durante il processo puoi vedere tutti gli script che integrano Chkrootkit vengono eseguiti facendo ciascuno la sua parte.
Puoi ottenere una vista più comoda con lo scorrimento dell'aggiunta di tubi e meno:
# sudo chkrootkit | meno
È inoltre possibile esportare i risultati in un file utilizzando la seguente sintassi:
# sudo chkrootkit> risultati
Quindi per vedere il tipo di output:
# meno risultati
Nota: è possibile sostituire i "risultati" per qualsiasi nome che desideri fornire il file di output.
Per impostazione predefinita è necessario eseguire manualmente Chkrootkit come spiegato sopra, ma è possibile definire le scansioni automatiche giornaliere modificando il file di configurazione di Chkrootkit situato su /etc /chkrootkit.conf, provalo usando nano o qualsiasi editor di testo che ti piace:
# nano /etc /chkrootkit.conf
Per ottenere la scansione automatica giornaliera la prima riga contenente Run_daily = "false" dovrebbe essere modificato Run_daily = "true"
Ecco come dovrebbe apparire:
Premere CTRL+X E Y per salvare ed uscire.
Rootkit Hunter, un'alternativa a Chkrootkit:
Un'altra opzione per Chkrootkit è Rootkit Hunter, è anche un complemento considerando se hai trovato i rootkit che usano uno di essi, usando l'alternativa è obbligatorio per scartare i falsi positivi.
Per iniziare con Rootkithunter, installalo eseguendo:
# APT Installa rkhunter -y
Una volta installato, per eseguire un test Esegui il seguente comando:
# rkhunter --Check
Come puoi vedere, come Chkrootkit, il primo passo di Rkhunter è analizzare i binari del sistema, ma anche le librerie e le corde:
Come vedrai, contrariamente a Chkrootkit Rkhunter ti chiederà di premere Invio per continuare con i prossimi passi, precedentemente Rootkit Hunter ha controllato i binari e le librerie del sistema, ora andrà per i rootkit noti:
Premi Invio per lasciare che Rkhunter vada avanti con la ricerca di Rootkit:
Quindi, come Chkrootkit, controllerà le interfacce di rete e anche le porte note per essere utilizzate da backdoors o trojan:
Infine, stamperà un riepilogo dei risultati.
Puoi sempre accedere ai risultati salvati a /var/log/rkhunter.tronco d'albero:
Se sospetti che il tuo dispositivo possa essere infetto da un rootkit o compromesso, puoi seguire i consigli elencati su https: // linuxhint.com/detect_linux_system_hacked/.
Spero che tu abbia trovato questo tutorial su come installare, configurare e utilizzare Chkrootkit utile. Continua a seguire LinuxHint per ulteriori suggerimenti e aggiornamenti su Linux e Networking.