Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
rootkit [Le 23/03/2016, 18:43] 90.31.43.160 [lynis] |
rootkit [Le 06/02/2024, 11:21] bruno supprimée |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>sécurité serveur virus}} | + | {{tag>sécurité serveur}} |
---- | ---- | ||
Ligne 6: | Ligne 6: | ||
{{:rootkits.png|}} | {{:rootkits.png|}} | ||
- | Un rootkit est un programme qui maintient un accès frauduleux à un système informatique et cela le plus discrètement possible, leur détection est difficile, parfois même impossible tant que le système d'exploitation fonctionne. Certains rootkits résistent même au formatage car il peuvent s'introduire directement dans le BIOS. Ils existent sous Linux depuis longtemps (car le noyau est ouvert et modulaire). | + | Un rootkit est un programme qui maintient un accès frauduleux à un système informatique et cela le plus discrètement possible, leur détection est difficile, parfois même impossible tant que le système d'exploitation fonctionne. Certains rootkits résistent même au formatage car il peuvent s'introduire directement dans le BIOS. Ils existent sous Linux depuis longtemps (car le noyau est ouvert et modulaire). |
Un Webkit quant à lui permet de prendre l'accès d'une machine via une faille puis par port http et de prendre l'accès sur le système. | Un Webkit quant à lui permet de prendre l'accès d'une machine via une faille puis par port http et de prendre l'accès sur le système. | ||
Ligne 15: | Ligne 15: | ||
==== rkhunter ==== | ==== rkhunter ==== | ||
+ | [[http://rkhunter.sourceforge.net/|Site officiel]] | ||
- | Site officiel : http://rkhunter.sourceforge.net/ | + | Contrôle notamment que les fichiers n'ont pas été modifiés en comparent les hash avec une base de données en ligne. Pour l'utiliser [[:tutoriel:comment_installer_un_paquet|installez le paquet]] **[[apt>rkhunter]]**. |
- | Contrôle notamment que les fichiers n'ont pas été modifiés en comparent les hash avec une base de données en ligne. | + | Mise à jour du programme : <code>sudo rkhunter --update</code> |
- | **[[apt>rkhunter|Cliquer ici pour installer rkhunter]]**, ou en ligne de commande : | + | Ensuite lancez RootKit Hunter (la commande ci-dessous n'affiche que les avertissements) : <code>sudo rkhunter --checkall --report-warnings-only</code> |
- | + | ||
- | sudo apt-get install rkhunter | + | |
- | + | ||
- | Mise à jour du programme : | + | |
- | + | ||
- | sudo rkhunter --update | + | |
- | + | ||
- | Ensuite lancez RootKit Hunter (la commande ci-dessous n'affiche que les avertissements): | + | |
- | + | ||
- | sudo rkhunter --checkall --report-warnings-only | + | |
Analysez sérieusement vos résultats. | Analysez sérieusement vos résultats. | ||
Ligne 43: | Ligne 34: | ||
sudo rkhunter --propupd | sudo rkhunter --propupd | ||
- | </note> | + | </note> |
- | Voir l'article sur [[rkhunter]] pour plus d'informations. | + | Voir l'article sur [[:rkhunter]] pour plus d'informations. |
==== chkrootkit ==== | ==== chkrootkit ==== | ||
- | Site officiel : http://www.chkrootkit.org/ | + | [[http://www.chkrootkit.org/|Site officiel]] |
- | Vérifie que les fichiers exécutables du système n'ont pas été modifiés, que la carte réseau n'est pas en mode "promiscuous" et que des vers [[http://fr.wikipedia.org/wiki/Loadable_Kernel_Module|LKM]] (Loadable Kernel Module) ne sont présents. | + | Vérifie que les fichiers exécutables du système n'ont pas été modifiés, que la carte réseau n'est pas en mode "promiscuous" et que des vers [[wpfr>Loadable_Kernel_Module|LKM]] (Loadable Kernel Module) ne sont pas présents. Pour l'utiliser [[:tutoriel:comment_installer_un_paquet|installez le paquet]] **[[apt>chkrootkit]]**. |
- | **[[apt>chkrootkit|Cliquer ici pour installer chkrootkit]]**, ou en ligne de commande : | + | Ensuite lancez chkrootkit : <code>sudo chkrootkit -q</code> |
- | sudo apt-get install chkrootkit | + | |
- | Ensuite lancez chkrootkit : | + | ==== Lynis ==== |
- | sudo chkrootkit -q | + | [[https://cisofy.com/lynis/|Site officiel]] |
- | ==== lynis ==== | + | Contrôle notamment le pare-feu, que les certificats SSL ne sont pas périmés, l'intégrité des fichiers. Pour l'utiliser [[:tutoriel:comment_installer_un_paquet|installez le paquet]] **[[apt>lynis]]**. |
- | Site officiel : http://www.rootkit.nl/projects/lynis.html | + | Mise à jour de la base de données : <code>sudo lynis --check-update</code> |
- | Contrôle notamment le pare-feu, que les certificats SSL ne sont pas périmés, l'intégrité des fichiers. | + | Lancer un scan (vérification totale sans action utilisateur) : <code>sudo lynis --check-all -Q</code> |
- | + | ||
- | **[[apt>lynis|Cliquer ici pour installer lynis]]**, ou en ligne de commande : | + | |
- | sudo apt-get install lynis | + | |
- | + | ||
- | Mise à jour de la base de donnée: | + | |
- | + | ||
- | sudo lynis --check-update | + | |
- | + | ||
- | Lancer un scan (vérification totale sans action utilisateur) : | + | |
- | + | ||
- | sudo lynis --check-all -Q | + | |
==== Tiger ==== | ==== Tiger ==== | ||
- | Site officiel : http://nongnu.org/tiger/ | + | [[http://nongnu.org/tiger/|Site officiel]] |
- | + | ||
- | **[[apt>tiger|Cliquer ici pour installer tiger]]**, ou en ligne de commande : | + | |
- | <code>sudo apt-get install tiger</code> | + | Pour l'utiliser [[:tutoriel:comment_installer_un_paquet|installez le paquet]] **[[apt>tiger]]**.\\ |
- | Lancez avec des droits root : | + | Lancez avec des droits root : <code>sudo tiger </code> |
- | <code>sudo tiger </code> | + | |
====OSSEC : + Rootcheck==== | ====OSSEC : + Rootcheck==== | ||
- | Site officiel : http://www.ossec.net/main/rootcheck | + | [[https://ossec.github.io/|Site officiel]] |
Voir [[http://forum.ubuntu-fr.org/viewtopic.php?pid=3725713#p3725713|sur le forum ubuntu pour rootcheck seul]]. | Voir [[http://forum.ubuntu-fr.org/viewtopic.php?pid=3725713#p3725713|sur le forum ubuntu pour rootcheck seul]]. | ||
Ligne 99: | Ligne 75: | ||
====PHP Shell Detector==== | ====PHP Shell Detector==== | ||
- | [[http://www.emposha.com/security/php-shell-detector-web-shell-detection-tool.html|PHP Shell Detector – web shell detection tool|Voir sur le site officiel pour les sources]] ([[https://github.com/emposha/PHP-Shell-Detector|github]]) et demo ( en [[php]] ) | + | [[http://www.emposha.com/security/php-shell-detector-web-shell-detection-tool.html|PHP Shell Detector – web shell detection tool (Voir sur le site officiel pour les sources)]] ([[https://github.com/emposha/PHP-Shell-Detector|github]]) et demo (en [[php]]). |
===== Liens ===== | ===== Liens ===== | ||
Ligne 105: | Ligne 81: | ||
[[http://plfnicolarius.free.fr/tutoriel_logiciel_freebsd_linux_detection_de_rootkits_sous_linux_et_freebsd.php|Détection de rootkits sous Linux]] | [[http://plfnicolarius.free.fr/tutoriel_logiciel_freebsd_linux_detection_de_rootkits_sous_linux_et_freebsd.php|Détection de rootkits sous Linux]] | ||
- | [[http://www.zdnet.fr/actualites/des-chercheurs-creent-un-rootkit-qui-resiste-au-formatage-39388963.htm|rootkit qui résiste au formatage]] | + | [[https://www.zdnet.fr/actualites/des-chercheurs-creent-un-rootkit-qui-resiste-au-formatage-39388963.htm|rootkit qui résiste au formatage]] |
===== Contributeur ===== | ===== Contributeur ===== | ||
Contributeurs : [[:utilisateurs:HacKurx]],[[:utilisateurs:psychederic|Psychederic]], | Contributeurs : [[:utilisateurs:HacKurx]],[[:utilisateurs:psychederic|Psychederic]], |