Chkrootkit - Como determinar se o sistema está infectado com rootkit

removido

No artigo você vai encontrar perguntas como: o que é rootkit? Como instalar o chkrootkit? Como executar o chkrootkit? Achei rootkit, o que fazer? Quais são os rootkits, worms e LKMs detectados atualmente? Vulnerabilidades e exposições comuns do chkrootkit.

[ Hits: 23.181 ]

Por: Perfil removido em 12/04/2017

46 1
Denuncie   Favoritos   Indicar   Impressora

Achei rootkit, o que fazer?



Caso o teste do chkrootkit detecte algo, o melhor é desligar o micro da rede, reiniciar usando um CD do Linux, salvar arquivos importantes e depois reinstalar completamente o sistema. Da próxima vez, mantenha o Firewall ativo, mantenha o sistema atualizado e fique de olho no que outras pessoas com acesso ao sistema estão fazendo.

Se a intrusão for em um servidor importante e ele for enviado para análise, então, simplesmente desconecte-o da rede. Alguns indícios se perdem os desligar ou reiniciar a máquina.

Infelizmente, o teste do chkrootkit não é confiável caso seja executado em uma máquina já infectada, pois muitos rootkits modificam os binários do sistema, de forma que ele não descubra as alterações feitas.

A única forma, realmente confiável de fazer o teste, é dar boot em algum live-CD e executar o teste a partir dele, um sistema limpo.

Neste caso, monte a partição onde o sistema principal está instalado e execute o chkrootkit usando o parâmetro "-r", que permite especificar o diretório node será feito o teste:

# mount /dev/hda1 /mnt/hda1
# chkrootkit /mnt/hda1

Ajuda do chkrootkit:

# chkrootkit -h 
Usage: /usr/sbin/chkrootkit [options] [test ...]
Options:
        -h       mostrar esta ajuda e sair
        -V       mostrar informações da versão e sair
        -l       mostrar testes disponíveis e sair
        -d       depurar
        -q       modo silencioso
        -x       modo especialista
        -e       excluir arquivos/dirs falsos positivos conhecidos, citados,
                 Espaço separado, READ WARNING IN README
        -r dir   usa dir como diretório raiz
        -p       dir1: dir2: dirN caminho para os comandos externos usados pelo chkrootkit
        -n       ignorar Dirs montados NFS
Os seguintes rootkits, worms e LKMs são detectados atualmente:
  1. lrk3, lrk4, lrk5, lrk6 (and variants);
  2. Solaris rootkit;
  3. FreeBSD rootkit;
  4. t0rn (and variants);
  5. Ambient's Rootkit (ARK);
  6. Ramen Worm;
  7. rh[67]-shaper;
  8. RSHA;
  9. Romanian rootkit;
  10. RK17;
  11. Lion Worm;
  12. Adore Worm;
  13. LPD Worm;
  14. kenny-rk;
  15. Adore LKM;
  16. ShitC Worm;
  17. Omega Worm;
  18. Wormkit Worm;
  19. Maniac-RK;
  20. dsc-rootkit;
  21. Ducoci rootkit;
  22. x.c Worm;
  23. RST.b trojan;
  24. duarawkz;
  25. knark LKM;
  26. Monkit;
  27. Hidrootkit;
  28. Bobkit;
  29. Pizdakit;
  30. t0rn v8.0;
  31. Showtee;
  32. Optickit;
  33. T.R.K;
  34. MithRa's Rootkit;
  35. George;
  36. SucKIT;
  37. Scalper;
  38. Slapper A, B, C and D;
  39. OpenBSD rk v1;
  40. Illogic rootkit;
  41. SK rootkit.
  42. sebek LKM;
  43. Romanian rootkit;
  44. LOC rootkit;
  45. shv4 rootkit;
  46. Aquatica rootkit;
  47. ZK rootkit;
  48. 55808.A Worm;
  49. TC2 Worm;
  50. Volc rootkit;
  51. Gold2 rootkit;
  52. Anonoying rootkit;
  53. Shkit rootkit;
  54. AjaKit rootkit;
  55. zaRwT rootkit;
  56. Madalin rootkit;
  57. Fu rootkit;
  58. Kenga3 rootkit;
  59. ESRK rootkit;
  60. rootedoor rootkit;
  61. Enye LKM;
  62. Lupper.Worm;
  63. shv5;
  64. OSX.RSPlug.A;
  65. Linux Rootkit 64Bit;
  66. Operation Windigo;
  67. Mumblehard backdoor/botnet;
  68. Linux.Xor.DDoS Malware;
  69. Backdoors.linux.Mokes.a

Mais detalhes podem ser encontrados no README do chkrootkit:
Como entrar em contato com os autores?

Envie comentários, novos rootkits, perguntas e relatórios de erros para Nelson Murilo [nelson@pangeia.com.br] (autor principal) e Klaus Steding-Jessen [jessen@cert.br] (co-autor).

Página anterior     Próxima página

Páginas do artigo
   1. O que é rootkit
   2. Achei rootkit, o que fazer?
   3. Licença, livros, artigos e pessoas que contribuíram para o projeto
   4. Vulnerabilidades e exposições comuns do chkrootkit
Outros artigos deste autor

Como realizar migração de Windows para Linux em uma empresa

Mais formatação especial no OpenOffice

Passos essenciais para configurar sua impressora no Linux

Sudo 1.8.12 - Parte I - Manual

Acessando a Internet 3G da Claro no Ubuntu e no Debian de maneira simples

Leitura recomendada

Ping - O que há por trás?

Debian Squeeze - Instalando VirtualBox com acesso WEB via phpVirtualBox

Biometria - Reconhecimento Facial

NTop - Configurações gerais

Como recuperar a senha o root

  
Comentários
[1] Comentário enviado por Freud_Tux em 12/04/2017 - 09:30h

Bom texto!

A melhor dica, com toda a certeza, foi em relação em retirar a máquina da rede e executar um sistema "live" com o chkrootkit para atestar a saúde da máquina.
Poderia ter indicado alguns sistemas que venham com o chkrootkit já instalado, pois, facilitaria a vida, e evitaria que a máquina alvo seja logada a internet de qualquer forma, pois, dependendo do rootkit, ele pode se alojar dentro da partição ESP, e de algum modo, tentar acessar o sistema live usando a Internet. Prevenir nesse caso é melhor do que remediar.

Favoritado ;)

T+
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob:"[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

[2] Comentário enviado por pinguintux em 14/04/2017 - 09:09h

Parabéns pelo excelente artigo. Muito bem montado, objetivo e esclarecedor. Já adicionei aos favoritos!

[3] Comentário enviado por rodriguessouzape em 04/05/2017 - 16:09h

muito bom

[4] Comentário enviado por killuaz em 01/06/2017 - 18:59h

Me ajudem!! oq significa isso? pegou no scan.
in /var/run/utmp !
! RUID PID TTY CMD
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD 3553 3;3,15,3553;4,0,3553;4,1,3553;4,2,4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD 3;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Como gerar qualquer emoji ou símbolo unicode a partir do seu teclado

Instalar e Configurar o Slackware Linux em 2025

Como configurar os repositórios do apt no Debian 12 em 2025

Passkeys: A Evolução da Autenticação Digital

Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla

Dicas

Configurando o Conky para iniciar corretamente no sistema

3 configurações básicas que podem melhorar muito a sua edição pelo editor nano

Como colorir os logs do terminal com ccze

Instalação Microsoft Edge no Linux Mint 22

Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado

Tópicos

firefox nao guarda meus logins nos sites (1)

Instalar debian testing (13) "por cima" do debian 12 (2)

Erro de segmentação «Segmentation fault (core dumped)» ao retornar obj... (1)

como funciona endereçamento ip? (5)

Preciso atualizar o Vim (2)

Top 10 do mês

Scripts

[Shell Script] Script de Backup do Perfil dos Usuários do Sistema em Batch do Windows

[C/C++] Alucard - scan de redes defensivo

[Outros] Dicas e truques Matematica Básica

[C/C++] reverse shell na marra!

[C/C++] criptografia de modo simples

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: