Recherche de rootkits connus

Un « rootkit » est un logiciel furtif et malveillant conçu pour cacher l'existence de certains processus ou de programmes des programmes habituels. Ainsi, il fonctionne dans le secret tout en abusant de votre machine ou en volant des mots de passe et autres données.

Ci-dessous vous pouvez trouver certains outils utiles pour vérifier si votre système Linux a été compromis par un rootkit. Pour Windows, nous vous recommandons de redémarrer votre PC à partir d'un Live CD Linux et d'utiliser les mêmes outils. Si votre machine a été compromise, informez Computer.Security@cern.ch immédiatement, débranchez le câble réseau, mais le laisser le système fonctionner (ne pas éteindre).

CRK

Si vous utilisez AFS, il suffit d'exécuter:

$ cd /afs/cern.ch/project/security/cern/public/tools
$ ./crk

Si vous n'utilisez pas AFS, copiez le répertoire ci dessus dans un répertoire local et exécutez le script depuis là :

$ scp -r username@lxplus:/afs/cern.ch/project/security/cern/public/tools /tmp/check-rootkit
$ cd /tmp/check-rootkit
$ ./crk

sucKIT

Une méthode simple, malheureusement peu fiable, de détecter le rootkit « SuckIT » est

$ ls -li /sbin/init /sbin/telinit

Sur une machine « saine », une réponse normale est /sbin/telinit as a symbolic link to init. Sur une machine infectée par le rootkit « SucKIT », tous deux vont apparaître comme des fichiers classiques, avec le même laquo; inode number » (premier chiffre) et « reference count » (2ième chiffre) à 1.

Solutions Alternatives

Alternativement, il est possible d'utiliser d'autres outils pour détecter les rootkits, comme « rkhunter » (yum install rkhunter; rkhunter --check) ou « chrootkit ».