Rkhunter / Chrootkit sur système indépendant

Niobé · Le 27/05/2014, à 10:16

Bonjour,

En surfant sur le net, j'ai cru comprendre que lorsqu'un système Linux (Ubuntu en ce qui nous intéresse) était infecté par des "gens sérieux", il y avait de grande chance (pour ne pas dire "à tous les coups) que Rkhunter et Chrootkit deviennent aveugles à la présence de rootkit car les hackers auront pris soin de pouvoir leur faire dire n'importe quoi (en l’occurrence : aucun warning).

Je me posais la question de savoir s'il était possible de démarrer une version d'Ubuntu saine sur une clé USB ou un disk SD pour pouvoir utiliser Rkhunter et Chrootkit pour scanner l'OS potentiellement compromis ? De cette manière là, Rkhunter et Chrootkit ne sont pas corrompus, ni trompés par le système d'exploitation potentiellement compromis.

Du coup, je suppose qu'il y a quelques modifications à leur apporter pour qu'ils scannent un disque autre que celui sur lequel ils sont installés.

Est-ce quelque chose de possible, de déjà fait, et dans ce cas, existe-t'il un tuto avec les modifications à leur apporter pour qu'il puissent effectuer cette tache ?

Je vous remercie d'avance !

spinoziste · Le 27/05/2014, à 12:02

Salut .

Pour Chrootkit = -r ?
man

compte supprimé · Le 27/05/2014, à 22:05

Niobé a écrit :

Bonjour,
En surfant sur le net, j'ai cru comprendre que lorsqu'un système Linux (Ubuntu en ce qui nous intéresse) était infecté par des "gens sérieux", il y avait de grande chance (pour ne pas dire "à tous les coups) que Rkhunter et Chrootkit deviennent aveugles à la présence de rootkit car les hackers auront pris soin de pouvoir leur faire dire n'importe quoi (en l’occurrence : aucun warning).
Je me posais la question de savoir s'il était possible de démarrer une version d'Ubuntu saine sur une clé USB ou un disk SD pour pouvoir utiliser Rkhunter et Chrootkit pour scanner l'OS potentiellement compromis ? De cette manière là, Rkhunter et Chrootkit ne sont pas corrompus, ni trompés par le système d'exploitation potentiellement compromis.
Du coup, je suppose qu'il y a quelques modifications à leur apporter pour qu'ils scannent un disque autre que celui sur lequel ils sont installés.
Est-ce quelque chose de possible, de déjà fait, et dans ce cas, existe-t'il un tuto avec les modifications à leur apporter pour qu'il puissent effectuer cette tache ?
Je vous remercie d'avance !

Je serai curieux d'avoir le mode d'emploi précis (et spécial débutant, c'est à dire partant de zéro) pour que chacun tombant sur ta discussion sache comment cela fonctionne car c'est loin d'être con comme réflexion.

spinoziste · Le 27/05/2014, à 23:04

... a écrit :

démarrer une version d'Ubuntu saine sur une clé USB

Une tails chiffrée .

bruno · Le 28/05/2014, à 10:37

Bonjour,

Si tu penses que ta machine a été compromise rkhunter et chrootkit sont très loin d'être des outils d'analyse suffisants.

Donc tu as une machine que tu soupçonne fortement d''avoir été compromise par une attaque quelconque. L'idée et de récupérer l'image disque on d'isoler la machine pour faire une analyse post-mortem afin d'essayer de savoir comment cette machine a été attaquée et ce qui a été installé dessus.
Il y a des outils spécialisés (« forensic tools » en anglais) comme sleuthkit et autopsy pour cela et./ou une distribution « live » comme CAINE qui propose ces outils et d'autres.

compte supprimé · Le 28/05/2014, à 11:25

bruno a écrit :

Bonjour,
Si tu penses que ta machine a été compromise rkhunter et chrootkit sont très loin d'être des outils d'analyse suffisants.
Donc tu as une machine que tu soupçonne fortement d''avoir été compromise par une attaque quelconque. L'idée et de récupérer l'image disque on d'isoler la machine pour faire une analyse post-mortem afin d'essayer de savoir comment cette machine a été attaquée et ce qui a été installé dessus.
Il y a des outils spécialisés (« forensic tools » en anglais) comme sleuthkit et autopsy pour cela et./ou une distribution « live » comme CAINE qui propose ces outils et d'autres.

Bonjour Bruno, c'est très intéressant. Je voulais te demander si tu as une petite expérience avec Caine, si l'on est obligé de faire une image disque de notre système avant d'utiliser Caine (afin que Caine analyse l'image disque, mais là en disant cela je ne sais pas si je me trompe, peut-être que Caine est prévue pour analyser le disque dur que l'on pense corrompu directement ?). Connais-tu un site Internet qui donne un mode d'emploi de Caine en français stp ? Merci beaucoup.

bruno · Le 28/05/2014, à 11:58

Caine est en fait une Ubuntu 12.04 à laquelle on été ajouté des outils d'analyse (voir la liste). Tu peux utiliser des disques physiques branchés sur la machine ou des images disques.
Comme je l'ai déjà dit c'est un ensemble d'outils pour l'autopsie* (forensic) d'une machine compromise. Leur usage nécessite une bonne maîtrise des outils de base de Linux (en ligne de commande, même si CAINE fournit des interfaces graphiques) et de lire et comprendre leurs documentations respectives (an anglais pour l'essentiel).
À ma connaissance pas de documentation en français.

Niobé · Le 28/05/2014, à 12:21

Merci pour l'information. Je vais récupérer Caine et commencer à voir comment ça marche. Ça pourra toujours servir !

compte supprimé · Le 28/05/2014, à 13:04

Dommage Bruno et merci, mais je ne suis que très peu anglophone, ce sera pour une prochaine fois. Si tu arrives à faire un petit mode d'emploi français Niobé, je suis preneur (je vois que l'anglais n'a pas l'air de te rebuter, mais peut-être je me trompe). En tous cas merci Bruno, de pointer le fait de savoir se servir des outils de Caine en un premier lieu (en lisant leur doc) mais aussi d'interpréter leur résultats, ça ce sera aussi dans la doc de chaque log je pense, mais bon, cela m'est inaccessible, bon courage Niobé... donnes nous des news stp.

Niobé · Le 28/05/2014, à 13:40

Mon OS n'a pas de raison d'être "post-mortem", il date d'une semaine. Mais je vais me pencher sur Caine quand même, ça ne pourra être qu'éducatif et préventif. Je pourrais éventuellement alimenter ce topic si j'ai des observations ou des questions (comme d'autres, évidemment), et cela pourra peut-être faire office de "tuto" en français (a posteriori) !

spinoziste · Le 28/05/2014, à 13:49

Il existe aussi un outil nommé Lynis .

compte supprimé · Le 28/05/2014, à 14:06

Merci Niobé, bonne nouvelle, bonne approche, si tu arrives à t'en sortir tout seul et que un tout petit mode d'emploi peut être à ta portée, n'hésites pas, on manque de spécifications sur Caine en français, je n'ai rien trouvé sur Google Fr, donc merci oui...

Merci Spinoziste, je vais jeter un œil aussi. Il y a tellement d’outils qui ne sont pas francisés, que c'est vraiment dommage qu'ils nous restent inaccessibles, vraiment dommage.

spinoziste · Le 28/05/2014, à 14:19

English rulez !

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 27/05/2014, à 10:16

Rkhunter / Chrootkit sur système indépendant

#2 Le 27/05/2014, à 12:02

Re : Rkhunter / Chrootkit sur système indépendant

#3 Le 27/05/2014, à 22:05

Re : Rkhunter / Chrootkit sur système indépendant

#4 Le 27/05/2014, à 23:04

Re : Rkhunter / Chrootkit sur système indépendant

#5 Le 28/05/2014, à 10:37

Re : Rkhunter / Chrootkit sur système indépendant

#6 Le 28/05/2014, à 11:25

Re : Rkhunter / Chrootkit sur système indépendant

#7 Le 28/05/2014, à 11:58

Re : Rkhunter / Chrootkit sur système indépendant

#8 Le 28/05/2014, à 12:21

Re : Rkhunter / Chrootkit sur système indépendant

#9 Le 28/05/2014, à 13:04

Re : Rkhunter / Chrootkit sur système indépendant

#10 Le 28/05/2014, à 13:40

Re : Rkhunter / Chrootkit sur système indépendant

#11 Le 28/05/2014, à 13:49

Re : Rkhunter / Chrootkit sur système indépendant

#12 Le 28/05/2014, à 14:06

Re : Rkhunter / Chrootkit sur système indépendant

#13 Le 28/05/2014, à 14:19

Re : Rkhunter / Chrootkit sur système indépendant

Pied de page des forums