Como checar se há rootkits em seu sistema

Publicado por Luiz Vieira em 09/07/2009

[ Hits: 9.928 ]

Blog: http://hackproofing.blogspot.com/

 


Como checar se há rootkits em seu sistema



Em primeiro lugar, baixe um programa chamado chkrootkit, que é um script que verifica se há no sistema alterações realizadas por algum rootkit presente.

Vale lembrar que os binários da instalação precisam anteriormente terem sido copiados para uma mídia, de forma que o programa realize a comparação entre o binário legítimo e o que há em sua máquina, verificando se houve alterações.

Por isso é sempre interessante quando instalar um sistema numa máquina, seja desktop ou servidor, fazer um pequeno backup dos binários para poder realizar esse tipo de operação posteriormente ou simplesmente recuperar binários corrompidos por ação de algum "ente desconhecido".

Para baixar o chkrootkit, acesse os links:
Verifique se o hash md5 do download corresponde:

md5sum chkrootkit.tar.gz

Descompacte-o:

tar xvzpf chkrootkit.tar.gz

Construa-o:

cd chkrootkit-*
$ make sense


E execute-o como root:

# ./chkrootkit

Como dito acima, é mais seguro executá-lo utilizando binários de um backup confiável copiado previamente para uma mídia removível, como CDROM:

# ./chkrootkit -p /mnt/cdrom

O chkrootkit busca pela presença de rootkits, worms e trojans em seu sistema. Se você suspeita que sofreu algum tipo de invasão, este é um primeiro passo para realizar a confirmação e diagnóstico.

Também verifica um grupo de comandos básicos do Linux como "awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, e uname".

Se esses programas foram comprometidos em seu sistema, os resultados exibidos pelo chkrootkit não são confiáveis.

Justamente por isso, é ideal que tenha uma cópia protegida contra gravações e/ou alterações com estes programas e execute o chkrootkit com a opção -p para utilizar esses binários confiáveis para a devida verificação.

Outras dicas deste autor

Hackeando sem riscos

A arquitetura OSI de segurança

Slides da palestra "Android's Forensics: The Hard Work" - You Shot The Sheriff 6

Aprendendo a programar em Python, Ruby, PHP e outras linguagens (de graça)

Script Ubuntu Perfeito para Ubuntu 9.04 Jaunty Jackalope

Leitura recomendada

Instalando Tcptrack no Slackware 13

Verificação de segurança do servidor DNS

Alterando a senha de root no Metasys Corporate MC

Bloqueando MSN, Yahoo, ICQ com Iptables

Descobrindo informações variadas do alvo pelo BackTrack 4

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts