Chkrootkit - Como determinar se o sistema está infectado com rootkit

removido

No artigo você vai encontrar perguntas como: o que é rootkit? Como instalar o chkrootkit? Como executar o chkrootkit? Achei rootkit, o que fazer? Quais são os rootkits, worms e LKMs detectados atualmente? Vulnerabilidades e exposições comuns do chkrootkit.

[ Hits: 21.642 ]

Por: Perfil removido em 12/04/2017

46 1
Denuncie   Favoritos   Indicar   Impressora

Achei rootkit, o que fazer?



Caso o teste do chkrootkit detecte algo, o melhor é desligar o micro da rede, reiniciar usando um CD do Linux, salvar arquivos importantes e depois reinstalar completamente o sistema. Da próxima vez, mantenha o Firewall ativo, mantenha o sistema atualizado e fique de olho no que outras pessoas com acesso ao sistema estão fazendo.

Se a intrusão for em um servidor importante e ele for enviado para análise, então, simplesmente desconecte-o da rede. Alguns indícios se perdem os desligar ou reiniciar a máquina.

Infelizmente, o teste do chkrootkit não é confiável caso seja executado em uma máquina já infectada, pois muitos rootkits modificam os binários do sistema, de forma que ele não descubra as alterações feitas.

A única forma, realmente confiável de fazer o teste, é dar boot em algum live-CD e executar o teste a partir dele, um sistema limpo.

Neste caso, monte a partição onde o sistema principal está instalado e execute o chkrootkit usando o parâmetro "-r", que permite especificar o diretório node será feito o teste:

# mount /dev/hda1 /mnt/hda1
# chkrootkit /mnt/hda1

Ajuda do chkrootkit:

# chkrootkit -h 
Usage: /usr/sbin/chkrootkit [options] [test ...]
Options:
        -h       mostrar esta ajuda e sair
        -V       mostrar informações da versão e sair
        -l       mostrar testes disponíveis e sair
        -d       depurar
        -q       modo silencioso
        -x       modo especialista
        -e       excluir arquivos/dirs falsos positivos conhecidos, citados,
                 Espaço separado, READ WARNING IN README
        -r dir   usa dir como diretório raiz
        -p       dir1: dir2: dirN caminho para os comandos externos usados pelo chkrootkit
        -n       ignorar Dirs montados NFS
Os seguintes rootkits, worms e LKMs são detectados atualmente:
  1. lrk3, lrk4, lrk5, lrk6 (and variants);
  2. Solaris rootkit;
  3. FreeBSD rootkit;
  4. t0rn (and variants);
  5. Ambient's Rootkit (ARK);
  6. Ramen Worm;
  7. rh[67]-shaper;
  8. RSHA;
  9. Romanian rootkit;
  10. RK17;
  11. Lion Worm;
  12. Adore Worm;
  13. LPD Worm;
  14. kenny-rk;
  15. Adore LKM;
  16. ShitC Worm;
  17. Omega Worm;
  18. Wormkit Worm;
  19. Maniac-RK;
  20. dsc-rootkit;
  21. Ducoci rootkit;
  22. x.c Worm;
  23. RST.b trojan;
  24. duarawkz;
  25. knark LKM;
  26. Monkit;
  27. Hidrootkit;
  28. Bobkit;
  29. Pizdakit;
  30. t0rn v8.0;
  31. Showtee;
  32. Optickit;
  33. T.R.K;
  34. MithRa's Rootkit;
  35. George;
  36. SucKIT;
  37. Scalper;
  38. Slapper A, B, C and D;
  39. OpenBSD rk v1;
  40. Illogic rootkit;
  41. SK rootkit.
  42. sebek LKM;
  43. Romanian rootkit;
  44. LOC rootkit;
  45. shv4 rootkit;
  46. Aquatica rootkit;
  47. ZK rootkit;
  48. 55808.A Worm;
  49. TC2 Worm;
  50. Volc rootkit;
  51. Gold2 rootkit;
  52. Anonoying rootkit;
  53. Shkit rootkit;
  54. AjaKit rootkit;
  55. zaRwT rootkit;
  56. Madalin rootkit;
  57. Fu rootkit;
  58. Kenga3 rootkit;
  59. ESRK rootkit;
  60. rootedoor rootkit;
  61. Enye LKM;
  62. Lupper.Worm;
  63. shv5;
  64. OSX.RSPlug.A;
  65. Linux Rootkit 64Bit;
  66. Operation Windigo;
  67. Mumblehard backdoor/botnet;
  68. Linux.Xor.DDoS Malware;
  69. Backdoors.linux.Mokes.a

Mais detalhes podem ser encontrados no README do chkrootkit:
Como entrar em contato com os autores?

Envie comentários, novos rootkits, perguntas e relatórios de erros para Nelson Murilo [nelson@pangeia.com.br] (autor principal) e Klaus Steding-Jessen [jessen@cert.br] (co-autor).

Página anterior     Próxima página

Páginas do artigo
   1. O que é rootkit
   2. Achei rootkit, o que fazer?
   3. Licença, livros, artigos e pessoas que contribuíram para o projeto
   4. Vulnerabilidades e exposições comuns do chkrootkit
Outros artigos deste autor

Ubuntu 14.04 no AD com CiD

Clonezilla - Gerando e restaurando backups completos (Parte I)

Minecraft 1.8.1 - Arquivo server.properties

JlGui - Java Media Player

Como instalar Postgres 8 no Linux em 10 passos rápidos

Leitura recomendada

Como funcionam os sistemas de biometria: um estudo geral

Segurança extrema com LIDS: novos recursos

Análise de Atividades Suspeitas com Audit

Configurando um servidor Freeradius + openLDAP

OpenVPN se comportando como PPTP

  
Comentários
[1] Comentário enviado por Freud_Tux em 12/04/2017 - 09:30h

Bom texto!

A melhor dica, com toda a certeza, foi em relação em retirar a máquina da rede e executar um sistema "live" com o chkrootkit para atestar a saúde da máquina.
Poderia ter indicado alguns sistemas que venham com o chkrootkit já instalado, pois, facilitaria a vida, e evitaria que a máquina alvo seja logada a internet de qualquer forma, pois, dependendo do rootkit, ele pode se alojar dentro da partição ESP, e de algum modo, tentar acessar o sistema live usando a Internet. Prevenir nesse caso é melhor do que remediar.

Favoritado ;)

T+
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob:"[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

[2] Comentário enviado por pinguintux em 14/04/2017 - 09:09h

Parabéns pelo excelente artigo. Muito bem montado, objetivo e esclarecedor. Já adicionei aos favoritos!

[3] Comentário enviado por rodriguessouzape em 04/05/2017 - 16:09h

muito bom

[4] Comentário enviado por killuaz em 01/06/2017 - 18:59h

Me ajudem!! oq significa isso? pegou no scan.
in /var/run/utmp !
! RUID PID TTY CMD
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD 3553 3;3,15,3553;4,0,3553;4,1,3553;4,2,4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD 3;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Melhorando o tempo de boot do Fedora e outras distribuições

Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46

E a guerra contra bots continua

Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário

Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).

Dicas

Instalando o FreeOffice no LMDE 6

Anki: Remover Tags de Estilo HTML de Todas as Cartas

Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE

Instalar IRPF 2024 no Linux

Instalando Google Chrome no LMDE 6

Tópicos

Gentoo bane contribuições de código feitas com IA (7)

Todo erro sempre gera um acerto... (11)

não pinga em outro ip (5)

Aprender redes pela IA do roadmap.sh (0)

Failed to start Zabbix Server (2)

Top 10 do mês

Scripts

[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse

[Shell Script] Script para criar certificados de forma automatizada no OpenVpn

[Shell Script] Conversor de vídeo com opção de legenda

[C/C++] BRT - Bulk Renaming Tool

[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: