Sécurisez Linux avec RKhunter

Sécurisez Linux avec RKhunter

Dans ce tutoriel, nous allons étudier et prendre en main un outil de sécurisation des systèmes UNIX nommé RKhunter.RKhunter est basiquement un chasseur de rootkit mais remplit également des missions complémentaires.

Pour définir brièvement ce qu’est un rootkit, il s’agit d’un petit programme voire d’une portion de code dans un programme qui va permettre la dissimulation d’un malware. Un rootkit désigne initialement la partie d’un malware qui permet de le dissimuler, de cacher sa présence aux yeux d’un système ou d’un antivirus.

Dans leur fonctionnement initial, les rootkits s’implantaient dans les programmes existant afin de modifier leur exécution habituelle, mais sans perturber leur fonctionnement global.

Le résultat final de l’intégration d’un rootkit est donc que le binaire/exécutable du programme est modifié, ce qui peut se voir lorsque l’on compare son hash avant/après infection, mais que son exécution et son comportement global ne changent quasiment pas, ce qui le rend très discret.

Pour plus d’informations à propos des rootkit et leur fonctionnement, je vous oriente vers cet article que j’ai écrit sur mon blog : Mais c’est quoi un rootkit ?

Bref, RKhunter va donc nous aider à scanner le système pour trouver les rootkits présents sur celui-ci, mais comment ?Leur rôle est par définition de se cacher à la perfection.  J’ai indiqué plus haut que lorsqu’un binaire/programme est modifié, son hash change également. Le hash étant, entre autres, conçu pour vérifier l’empreinte exacte d’une chaîne de caractères/ d’un fichier, un seul changement, même mineur, produit un hash complètement différent. RKhunter va donc comparer les empreintes (chaîne de caractères produite lors d’une opération de hashage) des exécutables connus (exemple “cd“, “ls“, “bash“, etc..) de notre système avec une base de hash en ligne. Ainsi, si l’empreinte de notre binaire “bash” , par exemple, diffère de celui stocké dans la base de données en ligne, alors il a probablement été infecté par un rootkit.Outre ce fonctionnement, RKhunter va également partir en chasse de tout comportement suspect, des comportements susceptibles d’être le fruit d’une infection, par exemple :

  • La présence de fichiers cachés inhabituels
  • La présence de signatures de rootkits et malwares connus
  • Les chaînes suspectes dans le kernel
  • Les permissions anormales (exemple : une permission 777 sur /etc/shadow)
  • Les ports en écoute
  • Détails de configuration des services sensibles (SSH par exemple)

Voici une liste avec des explications détaillées de tous les scans effectués par RKhunter :https://www.rootkit.nl/articles/rootkit_scanning_techniques.html

Note : RKhunter se base sur unhide, outil d’investigation sous Linux/Windows qui permet de détecter les processus infectés et les flux TCP/UDP cachés (en écoute, mais non visible par les processus de diagnostique habituels).

 Ce tutoriel se déroule sur une Debian 8.3 avec la version 1.4.2 de RKhunter

La suite ICI

Advertisements

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s