chkrootkit – Cercare rootkit grazie alle firme digitali

chkrootkit è un must-have (dovete averlo per forza) per ogni sistemista che ha un buon senso. Che cosa fa questo programma?

Cerca le rootkit più comuni nel vostro sistema GNU-Linux grazie alle loro firme digitali.

In realtà non cerca le rootkit solo su GNU-Linux, ma anche su FreeBSD, NetBSD, OpenBSD, Solaris, HP-UX, Tru64, BSDI e MAC OS X.

E’ scritto in C ed è presente nei repository di tutte le distro, compresa Debian, ma a noi non importa, perchè in Debian Jessie non è presente l’ultima versione, quindi che senso avrebbe scaricarla dal repository?

Quindi iniziamo il download dell’ultima versione. Attualmente l’ultima versione è la 0.52.

Scarichiamo anche il checksum MD5 e confrontiamolo con il file appena scaricato:

Se l’ultima riga dell’output è questo sotto riportato allora possiamo andare avanti:

Adesso scompattiamo chkrootkit.tar.gz ed entriamo dentro la cartella generata:

Assicuriamoci di aver installato make e gcc:

Nella cartella chkrootkit-0.52 lanciamo il comando “make”, e se non da errori l’output dovrebbe essere simile a questo:

Adesso possiamo utilizzarlo all’interno della sua cartella, e possiamo lanciarlo digitando semplicemente “chkrootkit”, per l’help digitate:

per un check veloce sul vostro sistema digitate:

Quando l’output dice “not tested”, ad esempio su questa riga:

Vuol dire che si tratta di una rootkit non compatibile con il vostro sistema operativo, ed ovviamente non la testa.

Pubblicherò altri articoli su come scovare le rootkit, questo è comunque uno dei migliori tool in circolazione.

Ecco il sito ufficiale di chkrootkit: http://www.chkrootkit.org/



Leave a comment