Como checar se há rootkits em seu sistema

Publicado por Luiz Vieira em 09/07/2009

[ Hits: 8.517 ]

Blog: http://hackproofing.blogspot.com/

 


Como checar se há rootkits em seu sistema



Em primeiro lugar, baixe um programa chamado chkrootkit, que é um script que verifica se há no sistema alterações realizadas por algum rootkit presente.

Vale lembrar que os binários da instalação precisam anteriormente terem sido copiados para uma mídia, de forma que o programa realize a comparação entre o binário legítimo e o que há em sua máquina, verificando se houve alterações.

Por isso é sempre interessante quando instalar um sistema numa máquina, seja desktop ou servidor, fazer um pequeno backup dos binários para poder realizar esse tipo de operação posteriormente ou simplesmente recuperar binários corrompidos por ação de algum "ente desconhecido".

Para baixar o chkrootkit, acesse os links:
Verifique se o hash md5 do download corresponde:

md5sum chkrootkit.tar.gz

Descompacte-o:

tar xvzpf chkrootkit.tar.gz

Construa-o:

cd chkrootkit-*
$ make sense


E execute-o como root:

# ./chkrootkit

Como dito acima, é mais seguro executá-lo utilizando binários de um backup confiável copiado previamente para uma mídia removível, como CDROM:

# ./chkrootkit -p /mnt/cdrom

O chkrootkit busca pela presença de rootkits, worms e trojans em seu sistema. Se você suspeita que sofreu algum tipo de invasão, este é um primeiro passo para realizar a confirmação e diagnóstico.

Também verifica um grupo de comandos básicos do Linux como "awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, e uname".

Se esses programas foram comprometidos em seu sistema, os resultados exibidos pelo chkrootkit não são confiáveis.

Justamente por isso, é ideal que tenha uma cópia protegida contra gravações e/ou alterações com estes programas e execute o chkrootkit com a opção -p para utilizar esses binários confiáveis para a devida verificação.

Outras dicas deste autor

Atualização do conteúdo da certificação LPI I e II

Palestra How Stuff Works: Exploits

Vídeo da palestra Análise de Malwares com Software Livre

Hashcat - O mais rápido programa para quebra de senhas utilizando CPU

Novo blog sobre segurança da informação

Leitura recomendada

SINUS Firewall

Honeypots

PrivacyFix e Adblock Plus - Navegação privada

Bind 9 - Erro "network unreachable" [Resolvido]

Lynis - Auditoria de segurança Unix

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts