chkrootkit (Check Rootkit) es un programa informático para consola común en sistemas operativos Unix y derivados que permite localizar rootkits conocidos, realizando múltiples pruebas en las que busca entre los ficheros binarios modificados por dicho rootkit.
Este guión de consola usa herramientas comunes de UNIX/Linux como las órdenes strings y grep para buscar las bases de las firmas de los programas del sistema y comparar un transversal del archivo del sistema /proc con la salida de la orden ps [estado de los procesos (process status)] para buscar discrepancias.
Básicamente chkrootkit hace múltiples comprobaciones para detectar todo tipo de rootkits y ficheros maliciosos.
Puede ser utilizado desde un "disco de rescate" (típicamente un LiveCD) o puede utilizar opcionalmente un directorio alternativo desde el cual ejecutar todas sus órdenes.
Wikipedia.
Descarga y Web del proyecto
Este guión de consola usa herramientas comunes de UNIX/Linux como las órdenes strings y grep para buscar las bases de las firmas de los programas del sistema y comparar un transversal del archivo del sistema /proc con la salida de la orden ps [estado de los procesos (process status)] para buscar discrepancias.
Básicamente chkrootkit hace múltiples comprobaciones para detectar todo tipo de rootkits y ficheros maliciosos.
Puede ser utilizado desde un "disco de rescate" (típicamente un LiveCD) o puede utilizar opcionalmente un directorio alternativo desde el cual ejecutar todas sus órdenes.
Wikipedia.
chkrootkit is a tool to locally check for signs of a rootkit. It contains:
- chkrootkit: shell script that checks system binaries for rootkit modification.
- ifpromisc.c: checks if the interface is in promiscuous mode.
- chklastlog.c: checks for lastlog deletions.
- chkwtmp.c: checks for wtmp deletions.
- check_wtmpx.c: checks for wtmpx deletions. (Solaris only)
- chkproc.c: checks for signs of LKM trojans.
- chkdirs.c: checks for signs of LKM trojans.
- strings.c: quick and dirty strings replacement.
- chkutmp.c: checks for utmp deletions.
- chkrootkit
- new tests: common SSH brute force scanners, suspicious PHP files
- enhanced tests: login, netstat, top, backdoor
- some minor bug fixes
chkrootkit-m 0.2 for mobile phones. This version includes:
- chkrootkit-m
- chkrootkit Python port for mobile phones
- tests: Cabir A-E Variants, Lasco, Skulls, Comwar.C, Comwar.Q, Acallno.A, Cardblock.A, Mopofeli.A, SingleJump.C
- still in alpha stage
Descarga y Web del proyecto
No hay comentarios:
Publicar un comentario