Como checar se há rootkits em seu sistema

Publicado por Luiz Vieira em 09/07/2009

[ Hits: 9.278 ]

Blog: http://hackproofing.blogspot.com/

 


Como checar se há rootkits em seu sistema



Em primeiro lugar, baixe um programa chamado chkrootkit, que é um script que verifica se há no sistema alterações realizadas por algum rootkit presente.

Vale lembrar que os binários da instalação precisam anteriormente terem sido copiados para uma mídia, de forma que o programa realize a comparação entre o binário legítimo e o que há em sua máquina, verificando se houve alterações.

Por isso é sempre interessante quando instalar um sistema numa máquina, seja desktop ou servidor, fazer um pequeno backup dos binários para poder realizar esse tipo de operação posteriormente ou simplesmente recuperar binários corrompidos por ação de algum "ente desconhecido".

Para baixar o chkrootkit, acesse os links:
Verifique se o hash md5 do download corresponde:

md5sum chkrootkit.tar.gz

Descompacte-o:

tar xvzpf chkrootkit.tar.gz

Construa-o:

cd chkrootkit-*
$ make sense


E execute-o como root:

# ./chkrootkit

Como dito acima, é mais seguro executá-lo utilizando binários de um backup confiável copiado previamente para uma mídia removível, como CDROM:

# ./chkrootkit -p /mnt/cdrom

O chkrootkit busca pela presença de rootkits, worms e trojans em seu sistema. Se você suspeita que sofreu algum tipo de invasão, este é um primeiro passo para realizar a confirmação e diagnóstico.

Também verifica um grupo de comandos básicos do Linux como "awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, e uname".

Se esses programas foram comprometidos em seu sistema, os resultados exibidos pelo chkrootkit não são confiáveis.

Justamente por isso, é ideal que tenha uma cópia protegida contra gravações e/ou alterações com estes programas e execute o chkrootkit com a opção -p para utilizar esses binários confiáveis para a devida verificação.

Outras dicas deste autor

Aprendendo Python

GCat - Backdoor em Python

Slides da palestra "Android's Forensics: The Hard Work" - You Shot The Sheriff 6

Hackeando sem riscos

Hashcat - O mais rápido programa para quebra de senhas utilizando CPU

Leitura recomendada

Comandos básicos do IPTables

Recuperando a senha de root

Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.08

Liberar SNMP no Firewall do Linux

Alterando a senha do usuário root com o comando sudo

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário