Rechercher des rootkits avec RKHunter

Niveau d’expertise : Intermédiaire

Rootkit Hunter, aussi connu sous le nom de RKHunter, est un analyseur de rootkit conçu pour Linux. Un rootkit est un programme malveillant furtif conçu pour permettre un accès privilégié continu à un ordinateur et pour cacher aux méthodes de détection conventionnelles l’existence de certains processus ou programmes. Par conséquent, un serveur infecté par un rootkit est compromis au niveau du système. Suivez les instructions ci-dessous pour analyser votre serveur et détecter ce type de menace :


1 - Installez RKHunter

Vous devrez être connecté en tant qu’utilisateur root au serveur par l’intermédiaire de SSH. Assurez-vous de remplacer la commande de téléchargement ci-dessous pour celle de la plus récente version de RKHunter :

cd /usr/local/src/
wget http://pilotfiber.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
cd rkhunter*
./installer.sh --layout default --install
 cd .. && rm -rf rkhunter-*


2 - Faites une mise à jour en passant à la dernière version et aux dernières signatures :

/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --propupd


3 - Lancez l’analyse :

/usr/local/bin/rkhunter --check --sk --logfile /tmp/rkhunter.log


4 - Vérifiez le rapport d’analyse :

egrep -i "warning:|\[ warning \]" /tmp/rkhunter.log && awk '/System checks summary/ {f=1}f' /tmp/rkhunter.log


Certains avertissements de type « command replaced by a script » (commande remplacée par un script), « Hidden file » (fichier caché) ou « Hidden directory » (répertoire caché) pourraient être de faux positifs. Il faut les vérifier manuellement.

Cependant, le sommaire de la vérification du système devrait indiquer 0 « Possible rootkits » (Rootkits possibles). 

5 - Si le serveur est infecté

Un serveur infecté par un rootkit est compromis au niveau du système. Si un rootkit est détecté, il faut réinstaller le serveur et changer tous ses mots de passe immédiatement après sa réinstallation.


6 - Configurations avancées :

/etc/rkhunter.conf peut être configuré pour envoyer les résultats d’analyse par courriel, pour désactiver certains avertissements comme celui sur la connexion root SSH autorisée ou pour permettre certains répertoires cachés.


Vous trouverez davantage de renseignements (en anglais) dans le fichier /etc/rkhunter.conf ou à http://rkhunter.sourceforge.net/

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk