sexta-feira, 20 de abril de 2012

Procurando rootkit

O Chkrootkit é uma ferramenta para procurar rootkit no Linux.

Segundo a descrição do Synaptic

'O "scanner" de segurança chkrootkit pesquisa o sistema local por sinais de que ele esteja infectado com um 'rootkit'. Rootkits são conjuntos de programas e "hacks" projetados para tomar o controle da máquina alvo usando falhas de segurança conhecidas.
Os tipos que o chkrootkit pode identificar estão listados na página web do projeto.
Por favor, note que o chkrootkit não detecta intrusões, ele não garante que seu sistema não está comprometido. Além da execução do chkrootkit, testes mais específicos devem sempre ser executados.'

Sua utilização é simples. Como root, digite:

chkrootkit

Abaixo, trechos da saída do comando:


ROOTDIR is `/'
Checking `amd'...                                           not found
Checking `basename'...                                      not infected
Checking `biff'...                                          not found
Checking `chfn'...                                          not infected
Checking `chsh'...                                          not infected
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/pymodules/python2.6/.path /usr/lib/pymodules/python2.5/.path /usr/lib/iceweasel/.autoreg /usr/lib/jvm/java-6-sun-1.6.0.26/.systemPrefs /usr/lib/jvm/.java-6-sun.jinfo /usr/lib/xulrunner-1.9.1/.autoreg /lib/init/rw/.ramfs
Checking `lkm'...                                           chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'...                                       not found
Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
br0: PACKET SNIFFER(/sbin/dhclient[1184])
Checking `w55808'...                                        not infected
Checking `wted'...                                          chkwtmp: nothing deleted
Checking `scalper'...                                       not infected
Checking `slapper'...                                       not infected
Checking `z2'...                                            chklastlog: nothing deleted
Checking `chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         7611 pts/2  /usr/lib/libgksu/gksu-run-helper /usr/sbin/synaptic
! root         7615 pts/2  sh -c /usr/sbin/synaptic
! root         7601 pts/2  /bin/su root -c /usr/lib/libgksu/gksu-run-helper "/usr/sbin/synaptic"
! root         7616 pts/2  /usr/sbin/synaptic
chkutmp: nothing deleted
Checking `OSX_RSPLUG'...                                    not infected

Apesar dos arquivos suspeitos, este equipamento está ok.