Aller au contenu
  • billets
    4
  • commentaires
    2
  • visualisations
    13 396

Installation de chkrootkit

webadev

1 313 vues

chkrootkit est un outil permettant de détecter les traces d'une attaque et rechercher la présence d'un rootkit sur un système Unix/Linux.

Vous devez effectuer l'installation en tant que root.

On recupère la derniere version de chkrootkit :

# cd /usr/local/src
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

On décompresse et compile l'application:

# cd /usr/local
# tar -zxvf src/chkrootkit.tar.gz
# cd chkrootkit-*/
# make sense

Pour executer chkrootkit il suffit de d'utiliser la commande suivant :

# ./chkrootkit

Une petite tâche cron qui vous envoit les résultats par mail ca vous tente ? :whistling:

il suffit de rajouter dans /etc/crontab :

0 3 * * * root (cd /usr/local/chkrootkit-*; ./chkrootkit 2>&1 | mail VOTRE_ADRESSE_EMAIL -s "Résultats de chkrootkit")

Pour que chkrootkit s'execute tous les jours à 3h du matin et vous envoit les résultats par mail.

N'oubliez pas de remplacer VOTRE_ADRESSE_EMAIL par votre adresse email (logique non ?).

Site officiel : www.chkrootkit.org



2 Commentaires


Commentaires recommandés

Pas mal ces petits guides sur les serveurs!

en cherchant un peu plus, j'ai trouvé ceci qui pourra déjà rassurer tout ceux qui feront le test :

Si la mention INFECTED n'apparait pas, a priori il n'y a pas lieu de s'inquiéter.

cf. http://www.chkrootkit.org/

7. Output Messages

------------------

The following messages are printed by chkrootkit (except with the -x

and -q command options) during its tests:

"INFECTED": the test has identified a command probably modified by

a known rootkit;

"not infected": the test didn't find any known rootkit signature.

"not tested": the test was not performed -- this could happen in

the following situations:

a) the test is OS specific;

B) the test depends on an external program that is not available;

c) some specific command line options are given. (e.g. -r ).

"not found": the command to be tested is not available;

"Vulnerable but disabled": the command is infected but not in use.

(not running or commented in inetd.conf)

Partager ce commentaire


Lien vers le commentaire

Petit précision pour les personnes qui auraient un serveur made in OVH :)

Si vous obtenez :

./chkrootkit: /tmp/.bugtraq: Permission non accordée

./chkrootkit: /tmp/.bugtraq.c: Permission non accordée

Warning: Possible Slapper Worm installed ()

Vérifiez les droits des 2 fichiers cités.

Si ceux-ci ressemble à ce qui suit, vous n'avez pas lieu de vous inquiéter, c'est une mesure préventive contre Slapper quon retrouve sur certain serveur.

---------- 1 root root 0 jui 5 2005 .bugtraq

---------- 1 root root 0 jui 5 2005 .bugtraq.c

Hervé

Partager ce commentaire


Lien vers le commentaire

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
×