Corsi on-line

Rilevare rootkits in Linux con chkrootkit

chkrootkit (o per esteso “Check Rootkit”) è un applicativo per sistemi operativi Unix e Unix like concepito per mettere a disposizione degli amministratori di sistema uno strumento utile per effettuare scansioni ai fini della rilevazione di rootkits, cioè quelle applicazioni pensate per acquisire il controllo di una piattaforma senza la necessità di alcuna autorizzazione da parte di un amministratore o altro utente. Si tratta di uno shell script che lavora a livello di core garantendo un livello di ricerca approfondito.

chkrootkit

chkrootkit è disponibile in buona parte dei repository per le distribuzioni basate sul Kernel Linux, per esempio in Debian lo si potrà installare lanciando l’istruzione:

apt-get install chkrootkit

In alternativa, sarà possibile installare il programma manualmente utilizzando i seguenti comandi che prevedono il download del package dal sito ufficiale dell’applicazione tramite wget, lo scompattamento dell’archivio compresso scaricato e l’integrazione all’interno del sistema attraverso la risoluzione delle dipendenze con “make”:

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-/
make sense

Fatto questo si potrà spostare chkrootkit in una nuova directory del file system di Linux, ad esempio “usr/local/”, operazione eseguibile attraverso le istruzioni:

cd ..
mv chkrootkit-/ /usr/local/chkrootkit

Ora chkrootkit potrà essere lanciato manualmente:

cd /usr/local/chkrootkit
./chkrootkit

oppure schedulato tramite crontab, ad esempio:

crontab -e
0 5 * * * (cd /usr/local/chkrootkit;

Nel caso specifico dell’esempio proposto il processo associato a chkrootkit verrà lanciato giornalmente nel sistema alle ore 5 in punto.

Post correlati
I più letti del mese
Tematiche