Détecter les rootkits présents dans votre système Linux

1- Introduction

Votre système ne répond pas correctement ? Vous avez l’impression qu’une personne s’est introduite dans votre ordinateur ? Alors il est possible que vous ayez un Malware ou un rootkit sur votre machine. Partons du principe où l’on a vérifié nos logs et on s’est rendu compte qu’une intrusion a eu lieu. Que faire dans ce cas ?

Vous avez sûrement entendu parler des portes dérobées dans la série Mr ROBOT .

  1. Définition

C’est quoi un Malwares ? C’est un logiciel malveillant qui a pour but de nuire sur le bon fonctionnement d’un système informatique.

Maintenant que l’on sait ce qu’est un maliciel, voyons les rootkits. Ce sont plusieurs techniques réunies en utilisant des softwares afin de pérenniser un accès au noyau d’un serveur.

  1. Comment savoir si votre machine est infectée ?

Vous ne savez comment analyser votre système ?

Sur la plupart des distributions GNU/Linux dédiées aux tests de sécurités d’un système d’information, il existe plusieurs outils que vous pouvez utiliser pour voir la présence d’une porte dérobée ou programme malveillant. Ceux-ci sont dans la rubrique « Criminalistique » dans Kali Linux ou Parrot OS.

Imaginez que vous soupçonnez une personne ayant un accès non autorisé sur votre réseau ou machine. Que faire dans ce cas ? Il faut rechercher l’existence d’un script nuisible. Il y a deux outils pour ce faire : RKhunter et checkrootkit

Vous n’avez pas ces derniers installés et que vous utilisez Ubuntu par exemple ? Pas de panique, il suffit de taper la commande « apt install rkhunter ».

Je vais scanner ma machine Parrot OS à la recherche de rootkit. Pour cela je vais utiliser rkhunter et regarder les différentes options utilisables avec l’option « -h ».

Quel était notre objectif ? De checker notre système, donc je vais utiliser tout simplement l’option « -c ou –check » depuis mon terminal. Je peux demarrer mon scan.

Et voilà, le process d’analyse de rootkit vient de commencer. Il va vérifier tous les scripts présents sur un système GNU/Linux.

Regardons de plus près l’analyse, il y a un script signalé « warning » donc possibilité d’être une fausse alerte ou présence d’un programme malveillant :

Que faire ? Google est votre ami, allez faire des recherches en copiant le chemin suivi de rkhunter pour vérifier si l’alerte est un faux positif : Vous trouverez dans les forums les informations nécessaires.

Voici la liste des rootkits connus que rkhunter teste la présence : Vous pouvez utiliser Google pour en savoir plus sur ces rootkits les plus rependus.

Imaginons que vous avez une porte dérobée et vous voulez le supprimer. Il faut copier le chemin du script infecté et chercher comment le supprimer. (sur Google).

Regardons le résumé de l’analyse :

Rkhunter a scanné 146 fichiers, et vérifié 499 rootkits connus et qu’il y a 5 rootkits potentiels et 1 fichier infecté. Après vérification sur internet ce sont des faux positifs.

And that’s it for today! See you next time … 😉



Hébergez votre site à partir de 2$ sur 👉👉👉

À propos Santana

Analyste en cybersécurité avec 5 ans d'expérience dans la protection des systèmes d'information contre les menaces et les attaques. Expertise dans la surveillance des réseaux, l'analyse des vulnérabilités, et la gestion des incidents de sécurité. Passionnée par l'innovation technologique et la mise en œuvre de solutions de sécurité robustes pour protéger les données sensibles et assurer la conformité réglementaire.

Vérifiez également

L’outil de manipulation SET Toolkit – HTA Attack

Hi guys, how are you ? hope all is ok for you !!!   Un …

Comment se défendre contre les attaques par force brute avec Fail2ban ?

Hi guys, all is good ?   Afin de varier et de diversifier les articles, je …

Watcher – TryHackMe Walkthrough – HackinGeeK

Yo les amis ! what’s up ? Prêt pour continuer avec les CTFs ? si …

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.