Chkrootkit : Suckit Rootkit Sbin Init Infected

Article publié, le et modifié le
3 minute(s) de lecture

Cet article contient 480 mots.
Source brute de l'article : MD

Description

Chkrootkit émet cette alerte : Searching for Suckit rootkit… Warning: /sbin/init INFECTED !

Déjà, si votre installation est fraîche, ne paniquez pas ; de toute façon, cela ne sert jamais à rien !

Analyse

Déjà, si j’ai bien compris, il y a de grandes probabilités pour que ce soit un faux positif, qui traîne depuis longtemps - cf : le bogue #454566 -, et qui semble être résolu avec la version 0.50.

Mais avant de courir pour mettre-à-jour votre version, analysons ce qui peut l’être !

Ensuite, si j’ai bien compris quand la machine est infectée par ce rootkit Suckit, elle place la chaîne HOME dans le répertoire /sbin/init.

⇒ Une première analyse commence avec la commande suivante :
$ ls -li /sbin/init /sbin/telinit
130357 -rwxr-xr-x 1 root root 265848 juil. 18 2014 /sbin/init
130426 -rwxr-xr-x 1 root root 104728 juil. 18 2014 /sbin/telinit

Si vous ressortez le même résultat, c’est déjà bon signe…

⇒ Continuons l’analyse et vérifions la présence de chaîne HOME :
$ strings /sbin/init | grep -E HOME

Normalement, il ne devrait RIEN avoir dans ce répertoire !

Mais dans le cas de distribution récente, telle que depuis Ubuntu (et assimilée) Trusty, vous aurez exactement cette sortie, qui semble tout autant normale :
$ strings /sbin/init | egrep HOME
XDG_CACHE_HOME
XDG_CONFIG_HOME

Pas de panique : apparemment, ce sont des spécifications liées au standard FreeDesktop

⇒ Continuons l’analyse, avec la commande :
# cat /proc/1/maps | grep -E "init."

Normalement, aucun retour ne devrait être fait !

⇒ Vérifions la somme md5 du binaire init, puis comparons-la avec l’officielle :
$ md5sum /sbin/init
249b19aaa268143c3a0b3d6aa9faa070 /sbin/init
$ grep "sbin/init$" /var/lib/dpkg/info/upstart.md5sums
249b19aaa268143c3a0b3d6aa9faa070 sbin/init

Si les sommes sont similaires, c’est un autre bon signe…

L’autre moyen - à préférer - est de :

  • télécharger le packet upstart de votre distribution - vérifier que vous télécharger bien l’exacte version correspondante ! -,
  • l’extraire,
  • et faire une comparaison des sommes ; le mieux étant de la faire avec sha256sum, voire sha512sum !

⇒ Histoire d’être ABSOLUMENT sûr que vous avez bien à faire à ce fameux faux positif, exécutez la suite de commande, ci-dessous : $ cd /sbin
$ ls -l init
-rwxr-xr-x 1 root root 265848 juil. 18 2014 init

Si vous voyez bien 1, c’est bon !

⇒ finissons-en avec : $ ln /sbin/init /sbin/init2
$ ls -l init
-rwxr-xr-x 2 root root 265848 juil. 18 2014 init

Si vous lisez bien 2, et non pas 1, c’est que vous êtes bon !
Félicitations !!!

Pensez à supprimer le lien init2.


rkhunter

Une autre manière de vérifier est d’exécuter rkhunter :
rkhunter --checkall --report-warnings-only

Si, à la fin de l’analyse, vous n’avez rien - ce qui devrait être le cas, après avoir vérifié comme précédemment - c’est que c’est vraiment tout bon !

Mise à jour

Si c’est possible, mettez-à-jour la version de chkrootkit vers la v0.50, minimum !