Présentation Rootkit
Un rootkit est un programme qui maintient un accès frauduleux à un système informatique et cela le plus discrètement possible, leur détection est difficile, parfois même impossible tant que le système d'exploitation fonctionne. Certains rootkits résistent même au formatage car il peuvent s'introduire directement dans le BIOS. Ils existent sous Linux depuis longtemps (car le noyau est ouvert et modulaire).
Un Webkit quant à lui permet de prendre l'accès d'une machine via une faille puis par port http et de prendre l'accès sur le système.
Il existe néanmoins des programmes pour les détecter, nous allons les voir ci-dessous.
Anti-Rootkit: Logiciel, installation et utilisation
rkhunter
Site officiel : http://rkhunter.sourceforge.net/
Contrôle notamment que les fichiers n'ont pas été modifiés en comparent les hash avec une base de données en ligne.
Cliquer ici pour installer rkhunter, ou en ligne de commande :
sudo apt-get install rkhunter
Mise à jour du programme :
sudo rkhunter --update
Ensuite lancez RootKit Hunter (la commande ci-dessous n'affiche que les avertissements):
sudo rkhunter --checkall --report-warnings-only
Analysez sérieusement vos résultats.
Notamment :
/usr/sbin/unhide
/usr/sbin/unhide-linux26
qui peuvent déclencher un [ Warning ]
Dans ce cas lancez :
sudo rkhunter --propupd
Voir l'article sur rkhunter pour plus d'informations.
chkrootkit
Site officiel : http://www.chkrootkit.org/
Vérifie que les fichiers exécutables du système n'ont pas été modifiés, que la carte réseau n'est pas en mode "promiscuous" et que des vers LKM (Loadable Kernel Module) ne sont pas présents.
Cliquer ici pour installer chkrootkit, ou en ligne de commande :
sudo apt-get install chkrootkit
Ensuite lancez chkrootkit :
sudo chkrootkit -q
lynis
Site officiel : http://www.rootkit.nl/projects/lynis.html
Contrôle notamment le pare-feu, que les certificats SSL ne sont pas périmés, l'intégrité des fichiers.
Cliquer ici pour installer lynis, ou en ligne de commande :
sudo apt-get install lynis
Mise à jour de la base de données :
sudo lynis --check-update
Lancer un scan (vérification totale sans action utilisateur) :
sudo lynis --check-all -Q
Tiger
Site officiel : http://nongnu.org/tiger/
Cliquer ici pour installer tiger, ou en ligne de commande :
sudo apt-get install tiger
Lancez avec des droits root :
sudo tiger
OSSEC : + Rootcheck
Site officiel : http://www.ossec.net/main/rootcheck
Voir sur le forum ubuntu pour rootcheck seul.
Sinon, installez ossec qui contient rootcheck.
Anti-Webkit
PHP Shell Detector
PHP Shell Detector – web shell detection tool (Voir sur le site officiel pour les sources) (github) et demo (en php).
Liens
Contributeur
Contributeurs : HacKurx,Psychederic,