Installation et utilisation de chkrootkit
Comment analyser votre serveur à la recherche de rootkits et configurer des contrôles de sécurité automatisés.
Chkrootkit (check rootkit) est un outil gratuit et open source permettant de détecter les rootkits et autres logiciels malveillants sur les systèmes Linux. Il est capable d'identifier pratiquement tous les rootkits modernes connus et est disponible dans la plupart des distributions majeures.
L'outil fonctionne aussi bien sur les VPS que sur les serveurs dédiés.
Installation
Option 1 — via le gestionnaire de paquets (recommandé) :
apt-get install chkrootkit
Option 2 — compilation depuis les sources (pour obtenir la dernière version) :
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense
Une fois la compilation terminée, déplacez le répertoire à un emplacement approprié :
cd ..
mv chkrootkit-/ /usr/local/chkrootkit
Créez un lien symbolique pour pouvoir l'appeler depuis n'importe où :
ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit
Options de ligne de commande
| Option | Description |
|---|---|
-h |
Afficher l'aide |
-V |
Afficher la version |
-l |
Lister tous les tests disponibles |
-d |
Activer le mode débogage |
-q |
Mode silencieux — afficher uniquement les fichiers infectés |
-x |
Mode étendu — sortie détaillée pour chaque fichier vérifié |
-r dir |
Utiliser le répertoire spécifié comme racine |
-n |
Ignorer les vérifications sur les montages NFS |
-p dir1:dir2 |
Spécifier les chemins des programmes externes utilisés par chkrootkit |
Lancer une analyse
Pour effectuer une vérification complète du système :
chkrootkit
Exemple de sortie :
ROOTDIR is /' Checking amd'... not found
Checking basename'... not infected Checking cron'... not infected
Checking find'... not infected Checking ls'... not infected
Checking ps'... not infected Checking sshd'... not infected
...
Checking `bindshell'... INFECTED (PORTS: 465)
...
Comprendre les résultats
| Statut | Signification |
|---|---|
not infected |
Aucune signature de rootkit connue détectée |
INFECTED |
Le programme correspond à une signature de rootkit ou de malware connue |
not found |
Le programme n'a pas été trouvé sur le système et n'a pas été vérifié |
not tested |
Test ignoré — non applicable à ce système d'exploitation, dépendance manquante ou désactivé par un flag |
Vulnerable but disabled |
Le programme est infecté mais n'est pas en cours d'exécution |
Faux positif connu : si vous voyez
Checking 'bindshell'... INFECTED (PORTS: 465)sur un serveur de messagerie, pas de panique. Le port 465 correspond au protocole SMTPS (Secure SMTP) — il s'agit d'une fausse alerte bien documentée que chkrootkit a toujours déclenchée sur les serveurs mail.
Important
chkrootkit signale les problèmes — il ne les corrige pas. Chaque avertissement doit être analysé manuellement pour déterminer s'il s'agit d'une menace réelle ou d'un faux positif avant d'entreprendre toute action.
Automatiser les analyses avec cron
Vous pouvez planifier des analyses régulières et recevoir les résultats par e-mail automatiquement.
Pour commencer, trouvez le chemin complet vers chkrootkit :
which chkrootkit
Sortie :
/usr/sbin/chkrootkit
Ouvrez votre crontab :
crontab -e
Ajoutez une tâche — par exemple, pour lancer une analyse complète chaque nuit à 3 h 00 :
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Report" votre@email.com
Remplacez le chemin par celui retourné par which chkrootkit et mettez à jour l'adresse e-mail avec la vôtre.
Aide
Une question ou besoin d'un coup de main ? Écrivez-nous via le système de tickets — nous sommes toujours là pour vous aider !