Chkrootkit - Como determinar se o sistema está infectado com rootkit

removido

No artigo você vai encontrar perguntas como: o que é rootkit? Como instalar o chkrootkit? Como executar o chkrootkit? Achei rootkit, o que fazer? Quais são os rootkits, worms e LKMs detectados atualmente? Vulnerabilidades e exposições comuns do chkrootkit.

[ Hits: 24.704 ]

Por: Perfil removido em 12/04/2017

46 1

Denuncie Favoritos Indicar Impressora

Achei rootkit, o que fazer?

Caso o teste do chkrootkit detecte algo, o melhor é desligar o micro da rede, reiniciar usando um CD do Linux, salvar arquivos importantes e depois reinstalar completamente o sistema. Da próxima vez, mantenha o Firewall ativo, mantenha o sistema atualizado e fique de olho no que outras pessoas com acesso ao sistema estão fazendo.

Se a intrusão for em um servidor importante e ele for enviado para análise, então, simplesmente desconecte-o da rede. Alguns indícios se perdem os desligar ou reiniciar a máquina.

Infelizmente, o teste do chkrootkit não é confiável caso seja executado em uma máquina já infectada, pois muitos rootkits modificam os binários do sistema, de forma que ele não descubra as alterações feitas.

A única forma, realmente confiável de fazer o teste, é dar boot em algum live-CD e executar o teste a partir dele, um sistema limpo.

Neste caso, monte a partição onde o sistema principal está instalado e execute o chkrootkit usando o parâmetro "-r", que permite especificar o diretório node será feito o teste:

# mount /dev/hda1 /mnt/hda1
# chkrootkit /mnt/hda1

Ajuda do chkrootkit:

# chkrootkit -h

Usage: /usr/sbin/chkrootkit [options] [test ...]
Options:
        -h       mostrar esta ajuda e sair
        -V       mostrar informações da versão e sair
        -l       mostrar testes disponíveis e sair
        -d       depurar
        -q       modo silencioso
        -x       modo especialista
        -e       excluir arquivos/dirs falsos positivos conhecidos, citados,
                 Espaço separado, READ WARNING IN README
        -r dir   usa dir como diretório raiz
        -p       dir1: dir2: dirN caminho para os comandos externos usados pelo chkrootkit
        -n       ignorar Dirs montados NFS

Os seguintes rootkits, worms e LKMs são detectados atualmente:

lrk3, lrk4, lrk5, lrk6 (and variants);
Solaris rootkit;
FreeBSD rootkit;
t0rn (and variants);
Ambient's Rootkit (ARK);
Ramen Worm;
rh[67]-shaper;
RSHA;
Romanian rootkit;
RK17;
Lion Worm;
Adore Worm;
LPD Worm;
kenny-rk;
Adore LKM;
ShitC Worm;
Omega Worm;
Wormkit Worm;
Maniac-RK;
dsc-rootkit;
Ducoci rootkit;
x.c Worm;
RST.b trojan;
duarawkz;
knark LKM;
Monkit;
Hidrootkit;
Bobkit;
Pizdakit;
t0rn v8.0;
Showtee;
Optickit;
T.R.K;
MithRa's Rootkit;
George;
SucKIT;
Scalper;
Slapper A, B, C and D;
OpenBSD rk v1;
Illogic rootkit;
SK rootkit.
sebek LKM;
Romanian rootkit;
LOC rootkit;
shv4 rootkit;
Aquatica rootkit;
ZK rootkit;
55808.A Worm;
TC2 Worm;
Volc rootkit;
Gold2 rootkit;
Anonoying rootkit;
Shkit rootkit;
AjaKit rootkit;
zaRwT rootkit;
Madalin rootkit;
Fu rootkit;
Kenga3 rootkit;
ESRK rootkit;
rootedoor rootkit;
Enye LKM;
Lupper.Worm;
shv5;
OSX.RSPlug.A;
Linux Rootkit 64Bit;
Operation Windigo;
Mumblehard backdoor/botnet;
Linux.Xor.DDoS Malware;
Backdoors.linux.Mokes.a

Mais detalhes podem ser encontrados no README do chkrootkit:

http://www.chkrootkit.org/README

Como entrar em contato com os autores?

Envie comentários, novos rootkits, perguntas e relatórios de erros para Nelson Murilo [nelson@pangeia.com.br] (autor principal) e Klaus Steding-Jessen [jessen@cert.br] (co-autor).

Página anterior Próxima página

Páginas do artigo

   1. O que é rootkit
   2. Achei rootkit, o que fazer?
   3. Licença, livros, artigos e pessoas que contribuíram para o projeto
   4. Vulnerabilidades e exposições comuns do chkrootkit

Outros artigos deste autor

Pesquisa com slocate, locate e updatedb

Plugin MSofficeKey para OCS Inventory

Migrando para Linux sem medo

Instalando o Slackware sem sofrimento (parte 1)

Navegando na internet com (mais) segurança usando extensões no Mozilla/Firefox

Leitura recomendada

Certificação CISSP

SSH completo (passo a passo)

Implementando uma política de segurança eficaz

Os 5 princípios básicos de segurança para empresas

Blindando sua rede com o HLBR - Um IPS invisível e brasileiro

Comentários

[1] Comentário enviado por Freud_Tux em 12/04/2017 - 09:30h

Bom texto!

A melhor dica, com toda a certeza, foi em relação em retirar a máquina da rede e executar um sistema "live" com o chkrootkit para atestar a saúde da máquina.
Poderia ter indicado alguns sistemas que venham com o chkrootkit já instalado, pois, facilitaria a vida, e evitaria que a máquina alvo seja logada a internet de qualquer forma, pois, dependendo do rootkit, ele pode se alojar dentro da partição ESP, e de algum modo, tentar acessar o sistema live usando a Internet. Prevenir nesse caso é melhor do que remediar.

Favoritado ;)

T+
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob:"[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

10 0

[2] Comentário enviado por pinguintux em 14/04/2017 - 09:09h

Parabéns pelo excelente artigo. Muito bem montado, objetivo e esclarecedor. Já adicionei aos favoritos!

3 0

[3] Comentário enviado por rodriguessouzape em 04/05/2017 - 16:09h

muito bom

5 0

[4] Comentário enviado por killuaz em 01/06/2017 - 18:59h

Me ajudem!! oq significa isso? pegou no scan.
in /var/run/utmp !
! RUID PID TTY CMD
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 0 3;3,13,3553;3,14,3553;3,15,3553;4,3;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel- 553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-
! 4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD 3553 3;3,15,3553;4,0,3553;4,1,3553;4,2,4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD 3;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553 --disable-accelerated-video-decode --disable-webrtc-hw-vp8-encoding --disable-gpu-compositing --service-request-channel-token=11F6EB8A391CAD

0 0