Como instalar o chkrootkit

Este tutorial se concentra em rootkits e como detectá -los usando o chkrootkit. Rootkits são ferramentas projetadas para conceder acesso ou privilégios enquanto escondem sua própria presença, ou a presença de um software adicional que concede o acesso, o termo "rootkit" se concentra em ocultar aspectos. Para alcançar a ocultação de um software malicioso, rootkit gerencia a integração no kernel, software ou na pior das hipóteses do firmware de hardware.

Geralmente, quando detectado a presença de um rootkit, a vítima precisa reinstalar o sistema operacional e o hardware fresco, analisar arquivos a serem transferidos para a substituição e, no pior caso, a substituição de hardware será necessária.É importante destacar a possibilidade de falsos positivos, esse é o principal problema do chkrootkit; portanto, quando uma ameaça é detectada, a recomendação é executar alternativas adicionais antes de tomar medidas, este tutorial também explorará brevemente o RKHunter como alternativa. Também é importante dizer que este tutorial é otimizado para os usuários de distribuições Linux baseadas em Debian e Linux, a única limitação para outras distribuições que os usuários são a parte de instalação, o uso de chkrootkit é o mesmo para todas as distros.

Como os rootkits têm várias maneiras de atingir seus objetivos que escondem software malicioso, o Chkrootkit oferece uma variedade de ferramentas para pagar essas maneiras. Chkrootkit é um conjunto de ferramentas que inclui o principal programa Chkrootkit e bibliotecas adicionais listadas abaixo:

Chkrootkit: Programa principal que verifica os binários do sistema operacional para modificações de rootkit para saber se o código foi adulterado.

ifpromisc.c: verifica se a interface está no modo promíscuo. Se uma interface de rede estiver no modo promíscuo, pode ser usado por um atacante ou software malicioso para capturar o tráfego de rede para analisá -lo posteriormente.

Chklastlog.c: verifica as deleções do LastLog. LastLog é um comando que mostra informações nos últimos logins. Um invasor ou rootkit pode modificar o arquivo para evitar a detecção se o sysadmin verificar este comando para aprender informações sobre logins.

chkwtmp.c: Verificações para deleções WTMP. Da mesma forma, com o script anterior, o CHKWTMP verifica o arquivo wtmp, que contém informações sobre os logins dos usuários para tentar detectar modificações nele, caso um rootkit tenha modificado as entradas para impedir a detecção de intrusões.

check_wtmpx.c: Este script é o mesmo que o acima, mas os sistemas solaris.
chkproc.c: Verificações para sinais de Trojans dentro do LKM (módulos de kernel carregáveis).
Chkdirs.c: tem a mesma função acima, verifica os Trojans nos módulos do kernel.
cordas.c: Substituição rápida e suja com o objetivo de esconder a natureza do rootkit.
chkutmp.c: Isso é semelhante ao CHKWTMP, mas verifica o arquivo UTMP em vez disso.

Todos os scripts mencionados acima são executados quando executamos Chkrootkit.

Para começar a instalar o Chkrootkit nas distribuições de Linux, com base no Debian e no Linux:

# APT Install Chkrootkit -y

Uma vez instalado para executá -lo executar:

# sudo chkrootkit

Durante o processo, você pode ver todos os scripts que integrando o Chkrootkit são executados fazendo cada uma delas sua parte.

Você pode ter uma visão mais confortável com a rolagem adicionando tubo e menos:

# sudo chkrootkit | menos

Você também pode exportar os resultados para um arquivo usando a seguinte sintaxe:

# sudo chkrootkit> Resultados

Então, para ver o tipo de saída:

# menos resultados

Observação: Você pode substituir "Resultados" para qualquer nome que queira fornecer o arquivo de saída.

Por padrão, você precisa executar o chkrootkit manualmente, conforme explicado acima, mas pode definir verificações automáticas diárias editando o arquivo de configuração Chkrootkit localizado em /etc /chkrootkit.conf, tente usar o nano ou qualquer editor de texto que você goste:

# nano /etc /chkrootkit.conf

Para alcançar a varredura automática diária, a primeira linha que contém Run_daily = "false" deve ser editado para Run_daily = "true"

É assim que deve parecer:

Imprensa Ctrl+X e Y Para salvar e sair.

Rootkit Hunter, uma alternativa ao Chkrootkit:

Outra opção para Chkrootkit é o Rootkit Hunter, também é um complemento, considerando se você encontrou rootkits usando um deles, usando a alternativa é obrigatória para descartar falsos positivos.

Para começar com o Rootkithunter, instale -o em execução:

# Apt Install rkhunter -y

Depois de instalado, para executar um teste executado o seguinte comando:

# rkhunter -check

Como você pode ver, como Chkrootkit, o primeiro passo do RKHunter é analisar os binários do sistema, mas também bibliotecas e cordas:

Como você verá, ao contrário do Chkrootkit Rkhunter, solicitará que você pressione Enter para continuar com as próximas etapas, anteriormente o Rootkit Hunter verificou os binários e bibliotecas do sistema, agora ele optará por rootkits conhecidos:

Pressione Enter para permitir que Rkhunter vá em frente com a pesquisa de rootkits:

Então, como Chkrootkit, ele verificará suas interfaces de rede e também portas conhecidas por serem usadas por backdoors ou Trojans:

Finalmente, ele imprimirá um resumo dos resultados.

Você sempre pode acessar os resultados salvos em /var/log/rkhunter.registro:

Se você suspeitar que seu dispositivo pode ser infectado por um rootkit ou comprometido, pode seguir as recomendações listadas em https: // linuxhint.com/detect_linux_system_hacked/.

Espero que você tenha encontrado este tutorial sobre como instalar, configurar e usar o chkrootkit útil. Continue seguindo o Linuxhint para obter mais dicas e atualizações no Linux e na rede.