PLF Nicolarius
Un disque dur linuxien

Détection de rootkits sous Linux et FreeBSD

Si beaucoup d'entres nous pensent que Linux et les systèmes UNIX en général ne sont pas concernés par les virus windowsiens, les menaces restent existantes. Dans la pratique, on n'est quasiment jamais infecté par un rootkit et c'est bien heureux car dans ce cas-ci, il faut souvent supprimer le fichier incriminé voire réinstaller tout le système! Smiley
Intéressons-nous à la détection de ces codes malveillants qui peuvent attaquer votre Linux ou votre FreeBSD. Pour ce faire, nous allons utiliser le très efficace rkhunter. Smiley

Obtenir et installer rkhunter

Téléchargez rkhunter sur la Sourceforge. Décompressez l'archive avec la commande habituelle:

tar xzf rkhunter*.tar.gz

Ensuite entrez dans le répertoire précédemment décompressé:

cd rkhunter*

Loggez-vous en root avec l'habituelle commande su puis lancez l'installeur: Smiley

sh installer.sh

Une fois ceci fait, rkhunter est installé sur votre système UNIX.

Première utilisation

Pour la première utilisation de rkhunter il va falloir créer la base de données sur les executables vitaux du système et mettre à jour la base de données des définitions de rootkits. Pour créer (et plus tard pour mettre à jour) la base de données sur les executables lancez en root la commande: Smiley

rkhunter --propupd

L'étape de détection des executables infectés

Une fois ceci fait, une modification sur les executables sera détectée comme l'intrusion d'un rootkit. Lancez donc la commande de mise à jour des définitions et du programme:

rkhunter --update

Votre rkhunter est maintenant totalement opérationnel! Smiley Pour lancer un premier scan, lancez la commande:

rkhunter --check

Votre système sera vérifié étape par étape. Ne vous affolez pas si vous voyez le message warning apparaître. Dans la plupart des cas il s'agit de modifications sur les executables dus à une mise à jour du paquetage contenant l'executable. Pour remédier au problème, il suffit de mettre à jour la base de données des executables de rkhunter par la commande citée ci-dessus.
Le cas où il y a vraiment raison de s'affoler lorsqu'il y a un warning de mentionné est lors de l'étape de scan de rootkits connus. Vous y voyez les noms des rootkits connus défiler et si ils sont présents ou non. Smiley

L'étape de détection des rootkits

Et après...

Il est difficile de donner une recommandation sur la fréquence des scans tant on sait que les infections sont minoritaires mais tant on sait aussi qu'elles sont très dangeureuses. Smiley Tablons sur un scan par mois. Mais si il y a les scans qui sont importants, quelques conseils s'avèrent aussi très utiles pour éviter les problèmes:

N'oubliez pas qu'il est nécessaire de mettre à jour la base de données des executables après toute mise à jour d'un paquet contenant les fichiers scannés. Dans la pratique, et même si c'est absurde, on met à jour sa base de données avant chaque scan. Ceci enlève toute crédibilité au test sur les fichiers mais est un moyen de s'affranchir de warning inutiles.
Bonne chasse contre les programmes malveillants! Smiley

Sommaire des tutoriels

Retour en haut de la page Retour à l'accueil
Ce site utilise du PHP Ce site utilise une base de données MySQL Site écrit sous Debian Site écrit avec Quanta+ Site uploadé avec gFTP Site écrit sous GNU/Linux Site au design fait avec Gimp Site officiel de WoW Casio
Affichage optimal sur les navigateurs de type Mozilla Firefox - 2006 - 2014 - PLF-Nicolarius