Como checar se há rootkits em seu sistema

Publicado por Luiz Vieira em 09/07/2009

[ Hits: 9.968 ]

Blog: http://hackproofing.blogspot.com/

 


Como checar se há rootkits em seu sistema



Em primeiro lugar, baixe um programa chamado chkrootkit, que é um script que verifica se há no sistema alterações realizadas por algum rootkit presente.

Vale lembrar que os binários da instalação precisam anteriormente terem sido copiados para uma mídia, de forma que o programa realize a comparação entre o binário legítimo e o que há em sua máquina, verificando se houve alterações.

Por isso é sempre interessante quando instalar um sistema numa máquina, seja desktop ou servidor, fazer um pequeno backup dos binários para poder realizar esse tipo de operação posteriormente ou simplesmente recuperar binários corrompidos por ação de algum "ente desconhecido".

Para baixar o chkrootkit, acesse os links:
Verifique se o hash md5 do download corresponde:

md5sum chkrootkit.tar.gz

Descompacte-o:

tar xvzpf chkrootkit.tar.gz

Construa-o:

cd chkrootkit-*
$ make sense


E execute-o como root:

# ./chkrootkit

Como dito acima, é mais seguro executá-lo utilizando binários de um backup confiável copiado previamente para uma mídia removível, como CDROM:

# ./chkrootkit -p /mnt/cdrom

O chkrootkit busca pela presença de rootkits, worms e trojans em seu sistema. Se você suspeita que sofreu algum tipo de invasão, este é um primeiro passo para realizar a confirmação e diagnóstico.

Também verifica um grupo de comandos básicos do Linux como "awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, e uname".

Se esses programas foram comprometidos em seu sistema, os resultados exibidos pelo chkrootkit não são confiáveis.

Justamente por isso, é ideal que tenha uma cópia protegida contra gravações e/ou alterações com estes programas e execute o chkrootkit com a opção -p para utilizar esses binários confiáveis para a devida verificação.

Outras dicas deste autor

Primeiro grupo de pesquisa de vulnerabilidades e desenvolvimento de exploits em língua portuguesa

Metasploit: atacando um objetivo final a partir de uma máquina já comprometida

Extensões do Firefox para auditorias de segurança

Gerador de backdoor indetectável

Atualizando o kernel no Ubuntu para o 2.6.30

Leitura recomendada

Análise de malware com Pyew

FireKeep: Firefox agindo como IDS

Confira a atualização do Xplico 0.7.0!

Série de webinars e podcasts sobre Análise Forense Computacional e CHFI

Firewall básico e simples

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts