Recherche de rootkits connus
Un « rootkit » est un logiciel furtif et malveillant conçu pour cacher l'existence de certains processus ou de programmes des programmes habituels. Ainsi, il fonctionne dans le secret tout en abusant de votre machine ou en volant des mots de passe et autres données.
Ci-dessous vous pouvez trouver certains outils utiles pour vérifier si votre système Linux a été compromis par un rootkit. Pour Windows, nous vous recommandons de redémarrer votre PC à partir d'un Live CD Linux et d'utiliser les mêmes outils. Si votre machine a été compromise, informez Computer.Security@cern.ch immédiatement, débranchez le câble réseau, mais le laisser le système fonctionner (ne pas éteindre).
CRK
Si vous utilisez AFS, il suffit d'exécuter:
$ cd /afs/cern.ch/project/security/cern/public/tools $ ./crk
Si vous n'utilisez pas AFS, copiez le répertoire ci dessus dans un répertoire local et exécutez le script depuis là :
$ scp -r username@lxplus:/afs/cern.ch/project/security/cern/public/tools /tmp/check-rootkit $ cd /tmp/check-rootkit $ ./crk
sucKIT
Une méthode simple, malheureusement peu fiable, de détecter le rootkit « SuckIT » est
$ ls -li /sbin/init /sbin/telinit
Sur une machine « saine », une réponse normale est /sbin/telinit as a symbolic link to init. Sur une machine infectée par le rootkit « SucKIT », tous deux vont apparaître comme des fichiers classiques, avec le même laquo; inode number » (premier chiffre) et « reference count » (2ième chiffre) à 1.
Solutions Alternatives
Alternativement, il est possible d'utiliser d'autres outils pour détecter les rootkits, comme « rkhunter » (yum install rkhunter; rkhunter --check) ou « chrootkit ».