Différences

Ci-dessous, les différences entre deux révisions de la page.

--- rootkit [Le 15/08/2017, 12:57]
L'Africain mise en forme wiki
+++ — (Version actuelle)
@@ Ligne 1: / Ligne 1: @@
-{{tag>sécurité serveur}}
-----
-====== Présentation Rootkit ======
-{{:rootkits.png|}}
-Un rootkit est un programme qui maintient un accès frauduleux à un système informatique et cela le plus discrètement possible, leur détection est difficile, parfois même impossible tant que le système d'exploitation fonctionne. Certains rootkits résistent même au formatage car il peuvent s'introduire directement dans le BIOS. Ils existent sous Linux depuis longtemps (car le noyau est ouvert et modulaire).
-Un Webkit quant à lui permet de prendre l'accès d'une machine via une faille puis par port http et de prendre l'accès sur le système.
-Il existe néanmoins des programmes pour les détecter, nous allons les voir ci-dessous.
-===== Anti-Rootkit: Logiciel, installation et utilisation =====
-==== rkhunter ====
-[[http://rkhunter.sourceforge.net/|Site officiel]]
-Contrôle notamment que les fichiers n'ont pas été modifiés en comparent les hash avec une base de données en ligne. Pour l'utiliser [[:tutoriel:comment_installer_un_paquet|installez le paquet]] **[[apt>rkhunter]]**.
-Mise à jour du programme : <code>sudo rkhunter --update</code>
-Ensuite lancez RootKit Hunter (la commande ci-dessous n'affiche que les avertissements) : <code>sudo rkhunter --checkall --report-warnings-only</code>
-Analysez sérieusement vos résultats.
-<note important>Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.\\
-Notamment :\\
-**///usr/sbin/unhide//**\\
-**///usr/sbin/unhide-linux26//**\\
-qui peuvent déclencher un **[ Warning ]**\\
-Dans ce cas lancez :\\
-  sudo rkhunter --propupd
-</note>
-Voir l'article sur [[:rkhunter]] pour plus d'informations.
-==== chkrootkit ====
- [[http://www.chkrootkit.org/|Site officiel]]
-Vérifie que les fichiers exécutables du système n'ont pas été modifiés, que la carte réseau n'est pas en mode "promiscuous" et que des vers [[wpfr>Loadable_Kernel_Module|LKM]] (Loadable Kernel Module) ne sont pas présents. Pour l'utiliser [[:tutoriel:comment_installer_un_paquet|installez le paquet]] **[[apt>chkrootkit]]**.
-Ensuite lancez chkrootkit : <code>sudo chkrootkit -q</code>
-==== Lynis ====
-[[http://www.rootkit.nl/projects/lynis.html|Site officiel]]
-Contrôle notamment le pare-feu, que les certificats SSL ne sont pas périmés, l'intégrité des fichiers. Pour l'utiliser [[:tutoriel:comment_installer_un_paquet|installez le paquet]] **[[apt>lynis]]**.
-Mise à jour de la base de données : <code>sudo lynis --check-update</code>
-Lancer un scan (vérification totale sans action utilisateur) : <code>sudo lynis --check-all -Q</code>
-==== Tiger ====
- [[http://nongnu.org/tiger/|Site officiel]]
-Pour l'utiliser [[:tutoriel:comment_installer_un_paquet|installez le paquet]] **[[apt>tiger]]**.\\
-Lancez avec des droits root : <code>sudo tiger </code>
-====OSSEC : + Rootcheck====
-[[http://www.ossec.net/main/rootcheck|Site officiel]]
-Voir [[http://forum.ubuntu-fr.org/viewtopic.php?pid=3725713#p3725713|sur le forum ubuntu pour rootcheck seul]].
-Sinon, [[ossec|installez ossec]] qui contient rootcheck.
-=====Anti-Webkit=====
-====PHP Shell Detector====
-[[http://www.emposha.com/security/php-shell-detector-web-shell-detection-tool.html|PHP Shell Detector – web shell detection tool (Voir sur le site officiel pour les sources)]] ([[https://github.com/emposha/PHP-Shell-Detector|github]]) et demo (en [[php]]).
-===== Liens =====
-[[http://plfnicolarius.free.fr/tutoriel_logiciel_freebsd_linux_detection_de_rootkits_sous_linux_et_freebsd.php|Détection de rootkits sous Linux]]
-[[http://www.zdnet.fr/actualites/des-chercheurs-creent-un-rootkit-qui-resiste-au-formatage-39388963.htm|rootkit qui résiste au formatage]]
-===== Contributeur =====
-Contributeurs : [[:utilisateurs:HacKurx]],[[:utilisateurs:psychederic|Psychederic]],