Description
Chkrootkit émet cette alerte : Searching for Suckit rootkit… Warning: /sbin/init INFECTED !
Déjà, si votre installation est fraîche, ne paniquez pas ; de toute façon, cela ne sert jamais à rien !
Analyse
Déjà, si j’ai bien compris, il y a de grandes probabilités pour que ce soit un faux positif, qui traîne depuis longtemps - cf : le bogue #454566 -, et qui semble être résolu avec la version 0.50.
Mais avant de courir pour mettre-à-jour votre version, analysons ce qui peut l’être !
Ensuite, si j’ai bien compris quand la machine est infectée par ce rootkit
Suckit, elle place la chaîne HOME dans le répertoire /sbin/init.
⇒ Une première analyse commence avec la commande suivante :
$ ls -li /sbin/init /sbin/telinit
130357 -rwxr-xr-x 1 root root 265848 juil. 18 2014 /sbin/init
130426 -rwxr-xr-x 1 root root 104728 juil. 18 2014 /sbin/telinit
Si vous ressortez le même résultat, c’est déjà bon signe…
⇒ Continuons l’analyse et vérifions la présence de chaîne HOME :
$ strings /sbin/init | grep -E HOME
Normalement, il ne devrait RIEN avoir dans ce répertoire !
Mais dans le cas de distribution récente, telle que depuis Ubuntu (et assimilée) Trusty,
vous aurez exactement cette sortie, qui semble tout autant normale :
$ strings /sbin/init | egrep HOME
XDG_CACHE_HOME
XDG_CONFIG_HOME
Pas de panique : apparemment, ce sont des spécifications liées au standard FreeDesktop…
⇒ Continuons l’analyse, avec la commande :
# cat /proc/1/maps | grep -E "init."
Normalement, aucun retour ne devrait être fait !
⇒ Vérifions la somme md5 du binaire init, puis comparons-la avec l’officielle :
$ md5sum /sbin/init
249b19aaa268143c3a0b3d6aa9faa070 /sbin/init
$ grep "sbin/init$" /var/lib/dpkg/info/upstart.md5sums
249b19aaa268143c3a0b3d6aa9faa070 sbin/init
Si les sommes sont similaires, c’est un autre bon signe…
L’autre moyen - à préférer - est de :
- télécharger le packet upstart de votre distribution - vérifier que vous télécharger bien l’exacte version correspondante ! -,
- l’extraire,
- et faire une comparaison des sommes ; le mieux étant de la faire avec
sha256sum, voiresha512sum!
⇒ Histoire d’être ABSOLUMENT sûr que vous avez bien à faire à
ce fameux faux positif, exécutez la suite de commande, ci-dessous :
$ cd /sbin
$ ls -l init
-rwxr-xr-x 1 root root 265848 juil. 18 2014 init
Si vous voyez bien 1, c’est bon !
⇒ finissons-en avec :
$ ln /sbin/init /sbin/init2
$ ls -l init
-rwxr-xr-x 2 root root 265848 juil. 18 2014 init
Si vous lisez bien 2, et non pas 1, c’est que vous êtes bon !
Félicitations !!!
Pensez à supprimer le lien init2.
rkhunter
Une autre manière de vérifier est d’exécuter rkhunter :
rkhunter --checkall --report-warnings-only
Si, à la fin de l’analyse, vous n’avez rien - ce qui devrait être le cas, après avoir vérifié comme précédemment - c’est que c’est vraiment tout bon !
Mise à jour
Si c’est possible, mettez-à-jour la version de chkrootkit vers la v0.50, minimum !