Chkrootkit - Como determinar se o sistema está infectado com rootkit

removido

No artigo você vai encontrar perguntas como: o que é rootkit? Como instalar o chkrootkit? Como executar o chkrootkit? Achei rootkit, o que fazer? Quais são os rootkits, worms e LKMs detectados atualmente? Vulnerabilidades e exposições comuns do chkrootkit.

[ Hits: 23.529 ]

Por: Perfil removido em 12/04/2017

46 1
Denuncie   Favoritos   Indicar   Impressora

Achei rootkit, o que fazer?



Caso o teste do chkrootkit detecte algo, o melhor é desligar o micro da rede, reiniciar usando um CD do Linux, salvar arquivos importantes e depois reinstalar completamente o sistema. Da próxima vez, mantenha o Firewall ativo, mantenha o sistema atualizado e fique de olho no que outras pessoas com acesso ao sistema estão fazendo.

Se a intrusão for em um servidor importante e ele for enviado para análise, então, simplesmente desconecte-o da rede. Alguns indícios se perdem os desligar ou reiniciar a máquina.

Infelizmente, o teste do chkrootkit não é confiável caso seja executado em uma máquina já infectada, pois muitos rootkits modificam os binários do sistema, de forma que ele não descubra as alterações feitas.

A única forma, realmente confiável de fazer o teste, é dar boot em algum live-CD e executar o teste a partir dele, um sistema limpo.

Neste caso, monte a partição onde o sistema principal está instalado e execute o chkrootkit usando o parâmetro "-r", que permite especificar o diretório node será feito o teste:

# mount /dev/hda1 /mnt/hda1
# chkrootkit /mnt/hda1

Ajuda do chkrootkit:

# chkrootkit -h 
Usage: /usr/sbin/chkrootkit [options] [test ...]
Options:
        -h       mostrar esta ajuda e sair
        -V       mostrar informações da versão e sair
        -l       mostrar testes disponíveis e sair
        -d       depurar
        -q       modo silencioso
        -x       modo especialista
        -e       excluir arquivos/dirs falsos positivos conhecidos, citados,
                 Espaço separado, READ WARNING IN README
        -r dir   usa dir como diretório raiz
        -p       dir1: dir2: dirN caminho para os comandos externos usados pelo chkrootkit
        -n       ignorar Dirs montados NFS
Os seguintes rootkits, worms e LKMs são detectados atualmente:
  1. lrk3, lrk4, lrk5, lrk6 (and variants);
  2. Solaris rootkit;
  3. FreeBSD rootkit;
  4. t0rn (and variants);
  5. Ambient's Rootkit (ARK);
  6. Ramen Worm;
  7. rh[67]-shaper;
  8. RSHA;
  9. Romanian rootkit;
  10. RK17;
  11. Lion Worm;
  12. Adore Worm;
  13. LPD Worm;
  14. kenny-rk;
  15. Adore LKM;
  16. ShitC Worm;
  17. Omega Worm;
  18. Wormkit Worm;
  19. Maniac-RK;
  20. dsc-rootkit;
  21. Ducoci rootkit;
  22. x.c Worm;
  23. RST.b trojan;
  24. duarawkz;
  25. knark LKM;
  26. Monkit;
  27. Hidrootkit;
  28. Bobkit;
  29. Pizdakit;
  30. t0rn v8.0;
  31. Showtee;
  32. Optickit;
  33. T.R.K;
  34. MithRa's Rootkit;
  35. George;
  36. SucKIT;
  37. Scalper;
  38. Slapper A, B, C and D;
  39. OpenBSD rk v1;
  40. Illogic rootkit;
  41. SK rootkit.
  42. sebek LKM;
  43. Romanian rootkit;
  44. LOC rootkit;
  45. shv4 rootkit;
  46. Aquatica rootkit;
  47. ZK rootkit;
  48. 55808.A Worm;
  49. TC2 Worm;
  50. Volc rootkit;
  51. Gold2 rootkit;
  52. Anonoying rootkit;
  53. Shkit rootkit;
  54. AjaKit rootkit;
  55. zaRwT rootkit;
  56. Madalin rootkit;
  57. Fu rootkit;
  58. Kenga3 rootkit;
  59. ESRK rootkit;
  60. rootedoor rootkit;
  61. Enye LKM;
  62. Lupper.Worm;
  63. shv5;
  64. OSX.RSPlug.A;
  65. Linux Rootkit 64Bit;
  66. Operation Windigo;
  67. Mumblehard backdoor/botnet;
  68. Linux.Xor.DDoS Malware;
  69. Backdoors.linux.Mokes.a

Mais detalhes podem ser encontrados no README do chkrootkit:
Como entrar em contato com os autores?

Envie comentários, novos rootkits, perguntas e relatórios de erros para Nelson Murilo [nelson@pangeia.com.br] (autor principal) e Klaus Steding-Jessen [jessen@cert.br] (co-autor).

Página anterior     Próxima página

Páginas do artigo
   1. O que é rootkit
   2. Achei rootkit, o que fazer?
   3. Licença, livros, artigos e pessoas que contribuíram para o projeto
   4. Vulnerabilidades e exposições comuns do chkrootkit
Outros artigos deste autor

Onde o Linux peca ao tentar atrair novos usuários

Desknotes e Walkpcs

TCollection e Generics no Free Pascal - Uma breve visão sobre lista de objetos com o Lazarus

Selecionando dados numa tabela para confecção de gráficos no oocalc

Instalando e usando o GNUstep no Linux

Leitura recomendada

Criptografia quântica

Análise sobre políticas de segurança da informação

Montando um completo servidor de backup usando Bacula

SECtool - Análise Local para Linux

Inprotect + Nessus: Scanner de vulnerabilidades

  
Comentários
[1] Comentário enviado por Freud_Tux em 12/04/2017 - 09:30h

Bom texto!

A melhor dica, com toda a certeza, foi em relação em retirar a máquina da rede e executar um sistema "live" com o chkrootkit para atestar a saúde da máquina.
Poderia ter indicado alguns sistemas que venham com o chkrootkit já instalado, pois, facilitaria a vida, e evitaria que a máquina alvo seja logada a internet de qualquer forma, pois, dependendo do rootkit, ele pode se alojar dentro da partição ESP, e de algum modo, tentar acessar o sistema live usando a Internet. Prevenir nesse caso é melhor do que remediar.

Favoritado ;)

T+
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob:"[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

[2] Comentário enviado por pinguintux em 14/04/2017 - 09:09h

Parabéns pelo excelente artigo. Muito bem montado, objetivo e esclarecedor. Já adicionei aos favoritos!

[3] Comentário enviado por rodriguessouzape em 04/05/2017 - 16:09h

muito bom

[4] Comentário enviado por killuaz em 01/06/2017 - 18:59h

Me ajudem!! oq significa isso? pegou no scan.
in /var/run/utmp !
! RUID PID TTY CMD
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD 3553 3;3,15,3553;4,0,3553;4,1,3553;4,2,4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD 3;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Aprenda a Gerenciar Permissões de Arquivos no Linux

Fundo pontilhado CSS

Como transformar um áudio em vídeo com efeito de forma de onda (wave form)

Como aprovar Pull Requests em seu repositório Github via linha de comando

Como gerar um podcast a partir de um livro em PDF

Dicas

Dando - teoricamente - um gás no Gnome-Shell do Arch Linux

Como instalar o Google Cloud CLI no Ubuntu/Debian

Mantenha seu Sistema Leve e Rápido com a Limpeza do APT!

Procurando vídeos de YouTube pelo terminal e assistindo via mpv (2025)

Gravação de tela com temporizador

Tópicos

Iinstalar o Scanner Kodak i940 no Linux Mint 19/20? (0)

Alguém que utilize o Warsaw do BB no Ubuntu 24.04 (4)

estou com problemas aqui no manjaro. (3)

warsaw parou de funcionar após atualização do sistema (solução) (7)

Pastas da raiz foram para a área de trabalho (0)

Top 10 do mês

Scripts

[Shell Script] Criar Script para apagar determinados arquivos

[Shell Script] inSANE - Script para usar Scanner

[Shell Script] Instalador do emulador de joystick Xbox para joystick generico para PC, PS2, PS3 (Debian e Derivados

[Shell Script] Instalador de Hotspot Linux Debian (SysV)

[Shell Script] Script para verificar o Status da bateria

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: