Détection de rootkit sans autre ordinateur
Si un rootkit a été installé à mon insu pour contrôler à distance l'ordinateur, alors je suppose que le gestionnaire de mise à jour devrait être trop affecté, alors les mises à jour du noyau, etc. pourraient être infectées?
Existe-t-il un moyen de vérifier si un rootkit a été placé à mon insu sans avoir à utiliser un autre ordinateur?
J'ai fait une analyse avec chkrootkit et cela a donné un résultat positif en disant que le rootkit suckit est installé, mais RKHunter ne le détecte pas, et j'ai lu que ces programmes sont souvent inutiles (au moins sans les connaissances appropriées) et donnent de faux positifs , et que si un bon rootkit était installé sur l'ordinateur, il contrôlerait ces programmes et journaux et je ne saurais jamais qu'il est là. Merci.
Rkhunter est en fait mieux avec ses détections que Chrootkit (et comme Rkhunter fait des vérifications supplémentaires pour le rootkit suckit contrairement à Chrootkit, si seulement Chrootkit le détecte alors il est presque certainement un faux positif ), mais les deux doivent être installés avant le rootkit sinon ils ne le détecteront pas, ils sont donc le genre de choses qui doivent être installées lorsque vous installez le système d'exploitation et avant de mettre à jour, d'installer ou de modifier quoi que ce soit d'autre.
Donc, à moins que vous ne les ayez avant d'avoir le rootkit, ils ne seront pas bons car ils se concentrent sur de nouveaux changements et supposent que le système est actuellement sûr.
Il existe cependant un outil plus avancé appelé OSSEC HIDS qui fait un certain nombre d'autres choses et peut détecter les rootkits sur les systèmes sans avoir besoin d'être installé avant le rootkit (bien qu'il soit probablement conseillé comme le rootkit pourrait encore le modifier, mais comme il fonctionne différemment, il est capable de détecter un rootkit installé avant lui).
Et si je craignais d'avoir un rootkit au niveau du noyau, je ne serais pas inquiet que les mises à jour soient infectées, je m'inquiéterais du fait que le rootkit était déjà dans mon noyau et pourrait donc faire n'importe quoi, même casser le système d'installation afin que je peux installer n'importe quoi pour le détecter.
Si vous pensez qu'un rootkit est installé sur votre système, voici un bon article sur leur détection:
Si vous pensez que l'aptitude peut être suspecte, vous pouvez les télécharger depuis la source. Par exemple:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xvzf chkrootkit.tar.gz
"cd" dans le répertoire créé et suivez les instructions du fichier README. Cela exclura la possibilité qu'un rootkit modifie votre liste de sources et ajoute quelque chose que vous ne voulez pas.
Idéalement, vous auriez un logiciel de détection en place AVANT que quelqu'un installe un rootkit, mais vous pouvez le contourner dans la plupart des cas. Gardez à l'esprit que tout rootkit qui se cache dans votre noyau augmente la taille du noyau. Plus le rootkit est compliqué, plus le noyau sera gros. vous pouvez vérifier les spécifications des noyaux récents dans la source sur kernel.org. Si votre noyau utilise plus de ressources qu'il ne le devrait, vous pouvez avoir un rootkit, mais en 15 ans de travail informatique d'entreprise dans les médias, la science, le gouvernement et les télécommunications, je n'ai vu un rootkit déployé qu'une seule fois, et c'était à la télévision montrer M. Robot.
En fin de compte, la meilleure chose à faire est d'essuyer la machine et de recommencer si vous avez une raison légitime de soupçonner une falsification.