Détecter un rootkit sur Linux

0
1

Pour dénicher les rootkits sous Linux, vous pouvez utiliser le programme rkhunter. Celui-ci dispose d’une excellente réputation dans le domaine. Il s’agit d’un script shell qui une fois lancé cherchera et détectera les rootkits de votre système. Si vous ne savez as ce qu’est un rootkit vous pouvez consulter la page dans laquelle j’ai réalisé un petit glossaire des menaces informatiques. Dans celle-ci je résume les rootkits de cette manière :

Un rootkit est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels, dont le but est d’obtenir et de pérenniser un accès (généralement non autorisé) à un ordinateur de la manière la plus furtive possible. Une fois installé, le pirate a accès à votre machine sans que vous vous vous en rendiez compte, technique très utilisée pour contrôler les serveurs d’entreprises, car ceux-ci sont toujours en fonctionnement contrairement au PC de particulier.

Un rootkit permet donc d’installer un malware de manière discrète. Les fichiers de configurations de rkhunter se trouvent dans :
/etc/rkhunter.conf
/usr/share/rkhunter/default.conf

Le fichier /etc/rkhunter.conf vous permettra d’ajouter un e-mail pour recevoir une alerte en cas de détection, l’option se situe au niveau de MAIL-ON-WARNING.

Des tâches cron seront créées automatiquement dans les fichiers :
/etc/cron.daily/rkhunter
/etc/cron.weekly/rkhunter

Utilisation de rkhunter

Il faut vous placer en superutilisateur.

Dans un premier temps, n’oubliez pas de faire une mise à jour de la base de données de rkhunter :
rkhunter --propupd

rkhunter

Pour lancer rkhunter il faut vous placer en superutilisateur puis lancer la commande :
rkhunter -c

LAISSER UN COMMENTAIRE

Merci de laisser votre commentaire
Merci d'entrer votre nom ici