Como checar se há rootkits em seu sistema

Publicado por Luiz Vieira em 09/07/2009

[ Hits: 9.920 ]

Blog: http://hackproofing.blogspot.com/

 


Como checar se há rootkits em seu sistema



Em primeiro lugar, baixe um programa chamado chkrootkit, que é um script que verifica se há no sistema alterações realizadas por algum rootkit presente.

Vale lembrar que os binários da instalação precisam anteriormente terem sido copiados para uma mídia, de forma que o programa realize a comparação entre o binário legítimo e o que há em sua máquina, verificando se houve alterações.

Por isso é sempre interessante quando instalar um sistema numa máquina, seja desktop ou servidor, fazer um pequeno backup dos binários para poder realizar esse tipo de operação posteriormente ou simplesmente recuperar binários corrompidos por ação de algum "ente desconhecido".

Para baixar o chkrootkit, acesse os links:
Verifique se o hash md5 do download corresponde:

md5sum chkrootkit.tar.gz

Descompacte-o:

tar xvzpf chkrootkit.tar.gz

Construa-o:

cd chkrootkit-*
$ make sense


E execute-o como root:

# ./chkrootkit

Como dito acima, é mais seguro executá-lo utilizando binários de um backup confiável copiado previamente para uma mídia removível, como CDROM:

# ./chkrootkit -p /mnt/cdrom

O chkrootkit busca pela presença de rootkits, worms e trojans em seu sistema. Se você suspeita que sofreu algum tipo de invasão, este é um primeiro passo para realizar a confirmação e diagnóstico.

Também verifica um grupo de comandos básicos do Linux como "awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, e uname".

Se esses programas foram comprometidos em seu sistema, os resultados exibidos pelo chkrootkit não são confiáveis.

Justamente por isso, é ideal que tenha uma cópia protegida contra gravações e/ou alterações com estes programas e execute o chkrootkit com a opção -p para utilizar esses binários confiáveis para a devida verificação.

Outras dicas deste autor

Lançada a edição de número 3 da Revista Espírito Livre

BIND: Ataque pode causar Negação de Serviço através do Dynamic Update

Revista Espírito Livre n°5

Restaurando o Grub no Ubuntu

Linux Hardening

Leitura recomendada

KMyFirewall - ferramenta gráfica para as regras do iptables

Criando volumes criptografados

Criando senhas mais difíceis

IDS Invisivel - Parte 1

IPtables - Exemplos de regras

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts