Analysez votre système pour rechercher les Rootkits

I. Présentation

Un Rootkit est un programme qui a pour but de s'introduire dans votre ordinateur de manière frauduleuse et très furtive. Il peut même se placer dans le secteur de démarrage de votre disque dur ce qui pourrait vous empêcher de démarrer votre système d'exploitation.

Nous allons donc voir, sous Windows et sous Linux comment s'y prendre pour analyser son ordinateur à la recherche d'un éventuel Rootkit.

II. Sous Windows

Sous Windows, il existe un logiciel du nom de "Kaspersky TDSSKiller" qui est un produit de la marque Kaspersky et qui est gratuit !

Cet utilitaire est efficace et permet même d'enlever les RootKits placés sur les secteurs de Boot qui sont en générale très tenace.

L'utilitaire vérifie vos pilotes, les services ainsi que le secteur de démarrage de l'ordinateur, l'analyse nécessite seulement quelques secondes mais peut vous éviter des ennuis. Il est disponible sur le site de Kaspersky.

L'interface est simple, vous pouvez lancer un scanne ou modifier quelques paramètres (pour ajouter des options de recherches supplémentaires) :

TDSKiller

Pour lancer une analyse appuyez sur Start Scan et patientez quelques secondes...

Scan

III. Sous Linux

Sous Linux, l'utilitaire Rkhunter permet de rechercher les Rootkits sur votre PC, cet utilitaire est en fait un script shell qui scanne votre système et vérifie notamment si des fichiers de démarrage ont étés modifié.

Pour effectuer ses tests, il vérifies différents hashes pour chaque fichier par rapport à une base de données qui contient les hashes connus pour déterminer si le fichier est infecté ou non.

A. Installation de rkhunter

apt-get install rkhunter

Il se peut que l'on vous demande de choisir un type de configuration pour l'envoie des mails :

Mail

Faites "OK" et choisissez ce qui vous convient, dans cet exemple nous choisissons "No configuration".

No configuration

B. Les fichiers de configuration

Il y a deux fichiers de configuration, qui sont :

- /etc/rkhunter.conf
- /usr/share/rkhunter/default.conf

C. Tâches automatiques

Lors de l'installation deux tâches automatiques sont créées, une journalière et une hebdomadaire :

rootkit6

rootkit7

D. Le fichier de configuration /etc/rkhunter.conf

Il est possible d'ajouter une ou plusieurs adresses mail pour que rkhunter envoie un mail au cas où celui-ci découvre un Rootkit.

Cherchez la ligne "MAIL-ON-WARNING" puis modifiez la comme ceci :

MAIL-ON-WARNING="mon_adresse@mail"

Sinon, vous pouvez modifier l'emplacement du fichier de log en modifiant ceci :

rootkit8

Les logs contiennent un résumé des recherches effectués par rkhunter.

Vous pouvez aussi activer ou désactiver les tests de votre choix en modifiant les paramètres de "ENABLE_TESTS" et "DISABLE_TESTS". Pour voir quels tests sont effectués et ainsi connaître leurs noms, il faut saisir la commande "rkhunter --list" et éventuellement "rkhunter --list |more".

E. Lancer les tests manuellement

Pour lancer les tests manuellement c'est à dire l'analyse de rkhunter, saisissez la commande "rkhunter -c" ou "rkhunter --checkall", mais avant d'effectuer cette commande il est conseillé de mettre à jour la base de données en exécutant la commande :

rkhunter --propupd

rootkit hunter

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5503.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.