Posts Tagged ‘rkhunter’

Procurando rootkits no seu sistema

Posted by Hugo Doria | Filed under Arch Linux, Linux

Rootkits são ferramentas utilizadas, geralmente, com o objetivo de ocultar a presença de invasores nas máquinas. Com essas ferramentas alguém não-autorizado, mas que já conseguiu entrar na máquina, pode ter controle sobre a máquina e nem ser notado.

Muitos rootkits acompanham uma gama de binários (como o ls, ps, who, find etc) modificados para que os processos rodados pelo invasor não possam ser vistos pelo administrador da máquina. Além disso, muitos vírus atuais utilizam rootkits.

Existem dois aplicativos que podem te ajudar a detectar rootkits no seu sistema: rkhunter e chkrootkit. A seguir eu mostro como instalar e executar ambos.

Usando o rkhunter

Para instalar o rkhunter faça:

No Arch Linux:

# pacman -Sy rkhunter

No Ubuntu (e derivados):

# apt-get install rkhunter

Antes de checar o sistema com o rkhunter execute os dois comandos abaixo:

# rkhunter –propupd
# rkhunter –update

O primeiro comando atualiza a base com as propriedades dos arquivos e o seguindo atualiza a base do rkhunter.

NOTA: O wordpress anda convertendo os dois hífens para um só. Nos comandos acima são dois hífens, então preste atenção na hora de usá-los.

Depois de tudo atualizado você pode checar seu sistema com o comando:

# rkhunter -c

A saída do rkhunter é colorida e bem simples de se ler. Ele checa diversas coisas no sistema e sempre que um item estiver OK (ou Not found), ele marca em verde. Quando não, aparece um WARNING em vermelho.

Se você quiser que apenas os WARNINGs aparecem na tela faça

# rkhunter -c –rwo

No final de tudo o rkhunter mostrar um resumo do que aconteceu:

resumo do rkhunter

Todo o log da operação é armazenado, por padrão, em /var/log/rkhunter.log. Você pode sempre consultá-lo. Para mudar o arquivo do log use:

# rkhunter -c -l /caminho/para/seu/arquivo.log

Você pode, também, fazer com que o rkhunter te envie um email sempre que encontrar algum WARNING. Para isso abra o arquivo /etc/rkhunter.conf e procure a linha que começa com “#MAIL-ON-WARNING”. Descomente-a e atribua seu email a ela. Fica algo assim:

MAIL-ON-WARNING=fulano@empresa.com

Acho que isto é suficiente para que você possa rodar o rkhunter com sucesso. ;)

Recomendo que você dê uma olhada na man page. Lá, e no site do rkhunter,você pode encontrar estas e outras opções com mais detalhes:

$ man rkhunter

Usando o chkrootkit

Eu acho o chkrootkit um pouco mais limitado que o rkhunter, mas ele não deixa de ser útil. Para instalá-lo faça:

No Arch Linux:

# pacman -Sy chkrootkit

No Ubuntu (e derivados):

# apt-get install chkrootkit

Para scanear o sistema rode:

# chkrootkit

E para usá-lo em modo avançado:

# chkrootkit -x

Caso o chkrootkit encontre algo ele mostrará um INFECTED na linha correspondente.

Se quiser, você pode rodar o chkrookit em outro dispositivo:

# chkrootkit -p /media/dispositivo

Para maiores informações rode “chkrootkit -h” (sem aspas) e visite o site do projeto.

Ah! E caso você tenha um mínimo de suspeita que seu sistema esteja infectado, não é recomendado usar essas ferramentas a partir do próprio sistema. O melhor, neste caso, é montar a partição em uma máquina 100% limpa e rodar as ferramentas de lá.

Tags: , , , ,
Read more | Comments (23) | Jun 5, 2008