chkrootkit

chkrootkit (Check Rootkit) on suosittu turvallisuustyökalu, joka on suunniteltu tarkistamaan Linux- ja Unix-tyyppiset järjestelmät rootkittien (haittaohjelmien, jotka antavat hyökkääjälle luvattoman pääsyn ja piilottavat samalla läsnäolonsa) merkkien varalta.

Sitä käytetään säännöllisesti järjestelmän yhtenäisyyden tarkistamiseen ja mahdollisten kompromissien havaitsemiseen. Se etsii muutoksia tai korvauksia ytimen järjestelmäohjelmissa (kuten ls, ps, ifconfig, netstat), jotka ovat tyypillisiä rootkittien kohteita. Se vertailee järjestelmän binäärejä tunnettuihin rootkitteihin. Se vertaa prosessilistan (/proc tiedostojärjestelmän sisältö) tulostetta standardin ps-komennon tulokseen. Eroavaisuudet voivat viitata piilotettuihin prosesseihin, jotka ovat tyypillisiä Kernel Loadable Module (LKM) rootkiteille. Se tarkistaa tiedostoja, kuten lastlog ja wtmp, epäilyttävien tai poistettujen kirjautumistietojen varalta. Se tarkistaa, onko verkkoliittymä asetettu promiscuous-tilaan (ifpromisc), mikä voi viitata järjestelmän salakuunteluun. chkrootkit sisältää laajan luettelon tunnetuista rootkiteistä ja haittaohjelmista, joita se pyrkii tunnistamaan (kuten LKM-rootkitit, t0rn, Adore, ym.).

chkrootkit löytyy useimpien jakeluiden paketinhallinnasta nimellä chkrootkit. Lisätietoja ohjelmien asentamisesta löytyy artikkelista Ohjelmien asentaminen.

Komennot, jotka alkavat $-merkillä suoritetaan tavallisena käyttäjänä ja komennot, jotka alkavat #-merkillä suoritetaan pääkäyttäjänä. Katso myös su, sudo ja doas.

Työkalu ajetaan yleensä pääkäyttäjänä (root) komennolla:

sudo chkrootkit

Paras käytäntö:

• Aja säännöllisesti osana palvelimen ylläpitoa.
• Parhaan luotettavuuden saavuttamiseksi chkrootkit tulisi suorittaa luotettavalta järjestelmältä tai pelastuslevyltä (esim. Live CD/USB). Tämä estää sen, että mahdollisesti kompromettoidut järjestelmäbinäärit antavat virheellisiä tuloksia.
• Sitä käytetään usein yhdessä muiden turvallisuustyökalujen, kuten rkhunterin, kanssa kokonaisvaltaisemman suojan varmistamiseksi.