chkrootkit – Cercare rootkit grazie alle firme digitali

chkrootkit è un must-have (dovete averlo per forza) per ogni sistemista che ha un buon senso. Che cosa fa questo programma?

Cerca le rootkit più comuni nel vostro sistema GNU-Linux grazie alle loro firme digitali.

In realtà non cerca le rootkit solo su GNU-Linux, ma anche su FreeBSD, NetBSD, OpenBSD, Solaris, HP-UX, Tru64, BSDI e MAC OS X.

E’ scritto in C ed è presente nei repository di tutte le distro, compresa Debian, ma a noi non importa, perchè in Debian Jessie non è presente l’ultima versione, quindi che senso avrebbe scaricarla dal repository?

Quindi iniziamo il download dell’ultima versione. Attualmente l’ultima versione è la 0.52.

$ aria2c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

Scarichiamo anche il checksum MD5 e confrontiamolo con il file appena scaricato:

$ aria2c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5 && cat chkrootkit.md5 && md5sum chkrootkit.tar.gz

Se l’ultima riga dell’output è questo sotto riportato allora possiamo andare avanti:

0c864b41cae9ef9381292b51104b0a04  chkrootkit.tar.gz

Adesso scompattiamo chkrootkit.tar.gz ed entriamo dentro la cartella generata:

$ tar -xvzf chkrootkit.tar.gz && cd chkrootkit-0.52

Assicuriamoci di aver installato make e gcc:

# apt-get install make gcc

Nella cartella chkrootkit-0.52 lanciamo il comando “make”, e se non da errori l’output dovrebbe essere simile a questo:

davenull@davenull-server:~/chkrootkit-0.52$ make sense
cc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
cc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c
cc -DHAVE_LASTLOG_H   -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c
cc  -o chkproc chkproc.c
cc  -o chkdirs chkdirs.c
cc  -o check_wtmpx check_wtmpx.c
cc -static  -o strings-static strings.c
cc  -o chkutmp chkutmp.c

Adesso possiamo utilizzarlo all’interno della sua cartella, e possiamo lanciarlo digitando semplicemente “chkrootkit”, per l’help digitate:

# ./chkrootkit -h

per un check veloce sul vostro sistema digitate:

# ./chkrootkit

Quando l’output dice “not tested”, ad esempio su questa riga:

Checking `OSX_RSPLUG'... not tested

Vuol dire che si tratta di una rootkit non compatibile con il vostro sistema operativo, ed ovviamente non la testa.

Pubblicherò altri articoli su come scovare le rootkit, questo è comunque uno dei migliori tool in circolazione.

Ecco il sito ufficiale di chkrootkit: http://www.chkrootkit.org/

Author: davenull

Ho 28 anni (ad aprile 29) e vengo da Taranto (Puglia, Italia) e sono:

Sistemista/Programmatore Unix (Debian, OpenMediaVault, OpenWrt, FreeBSD, NetBSD, Lineage OS);

Prototipatore con Raspberry Pi.

Esperto di Sicurezza Informatica, scrivo exploit da poco piì di dieci anni, circa quindici;

Esperto di microarchitetture embedded, specialmente bcm63, ar7 ed armhf (6 e 7);

Fondamentalista del Free Software (Free as in Freedom)

Relatore ed organizzatore di svariati Linux Day a Taranto e a Francavilla Fontana (Brindisi);

Sistemista di svariate sale server che ora non vi sto ad elencare;

Co-Founder di JonixLUG: https://www.jonixlug.altervista.org

Founder di FreeNIX Security Labs: https://www.freenixsecurity.net

Collaboratore esterno dell’Associazione Fare Zero Makers: http://www.farezero.org