====== Chkrootkit ======

  * Objet : Chkrootkit, installation, utilisation
  * Niveau requis :{{tag>débutant avisé}}
  * Commentaires : //détecter si un système UNIX n'a pas été compromis par un rootkit//
  * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !]] :-)
  * Suivi : 
    * Création par [[user>gutts]] le 12/11/2009
    * Testé par [[user>Ir0nsh007er]] le 21/05/2015  
    * * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=2033 |C'est ici]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) 


===== Introduction =====

**Chkrootkit** est un logiciel libre sous licence GNU GPL permettant de détecter si un système **UNIX** n'a pas été compromis par un **rootkit**.\\ 
Il permet de détecter les traces d'une attaque et de rechercher la présence d'un **rootkit** sur un système Unix/Linux en vérifiant les quelques points suivants :
  * si des fichiers exécutables du système ont été modifiés ;
  * si la carte réseau est en mode « **promiscuous** » ;
  * si un ou des **vers LKM** (//Loadable Kernel Module//) sont présents.

<note important>Veuillez vous rendre sur la [[http://www.chkrootkit.org/|page d’accueil]] du projet pour prendre connaissance des types de rootkits identifiables par chkrootkit.</note>

== promiscuous ==

La vérification effectuée au sujet du mode **promiscuous** consiste à voir si la carte réseau est configurée pour récupérer et lire toutes les trames, indiquant la possibilité qu'un **sniffer** soit installé sur le système.

== rootkit ==

La définition exacte de **rootkit** donnée par Le Jargon Français est :
  * « ensemble d'exploits réunis afin d'avoir des chances maximales de piquer un compte root (administrateur), c'est-à-dire avec lequel on peut faire n'importe quoi) sur une machine **Unix**. »

//source : // [[http://fr.wikipedia.org/wiki/Chkrootkit | Wikipedia ]]

<note warning>Veuillez noter que chkrootkit ne détecte pas les intrusions, ne garantissant donc pas que le système ne soit pas compromis. En plus d'exécuter chkrootkit, d'autres tests plus spécifiques devraient toujours être réalisés.</note>
===== Installation =====

Rien de plus simple : 
<code root>apt-get update && apt-get install chkrootkit</code>

==== Méthode déconseillée ====

=== Téléchargement ===

Ou via les sources (on considère que le répertoire d'extraction est chkrootkit) : 
<code user>cd /tmp</code>

<code user>wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz</code>

<code user>tar xzfv chkrootkit.tar.gz</code>

=== Installation ===

<code root>cd chkrootkit</code>

<code root>make sense</code>

<code root>cd ..</code>

<code root>mv chkrootkit /usr/local/bin/</code>

<code root>ln -sfv /usr/local/bin/chkrootkit/chkrootkit /usr/bin/</code>

===== Utilisation ======

Le lancement se fait en [[doc:systeme:superutilisateur|superutilisateur]] car nous avons besoin des accès aux fichiers système :
<code root>/usr/sbin/chkrootkit</code>

== Résultat ==

{{/chkrootkit/chkrootkit.png?700}}

=====Liens divers =====

  * [[doc:systeme:securite:les-malwares | Les malwares - Généralités]]
  * [[doc:systeme:securite:les-logiciels-malveillants-sous-linux| Les logiciels malveillants sous Linux]]