Chkrootkit: Difference between revisions
From OnnoCenterWiki
Jump to navigationJump to search
Onnowpurbo (talk | contribs) No edit summary |
Onnowpurbo (talk | contribs) |
||
| (9 intermediate revisions by the same user not shown) | |||
| Line 2: | Line 2: | ||
==What's chkrootkit?== | ==What's chkrootkit?== | ||
Chkrootkit adalah tool untuk memeriksa tanda-tanda rootkit secara lokal. | |||
==Instalasi== | ==Instalasi== | ||
Siapkan compiler | |||
sudo su | |||
apt install make gcc | |||
Download source code | Download source code | ||
cd /usr/local/src | |||
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz | |||
tar zxvf chkrootkit.tar.gz | |||
cd /usr/local/src/chkrootkit-0.52/ | |||
make sense | |||
Uninstall compiler | |||
apt remove make gcc | |||
==Menjalankan== | ==Menjalankan== | ||
cd /usr/local/src/chkrootkit-0.52 | |||
./chkrootkit | |||
atau | |||
cd /usr/local/src/chkrootkit-0.52 | |||
./chkrootkit -q | |||
==Penggunaan== | ==Penggunaan== | ||
| Line 19: | Line 37: | ||
# ./chkrootkit | # ./chkrootkit | ||
Usage: ./chkrootkit [options] [ | Usage: ./chkrootkit [options] [test ...] | ||
Options: | Options: | ||
-h show this help and exit | -h show this help and exit | ||
-V show version information and exit | -V show version information and exit | ||
-l show available tests | -l show available tests and exit | ||
-d debug | -d debug | ||
-q quiet mode | -q quiet mode | ||
| Line 43: | Line 61: | ||
Contoh | Contoh | ||
./chkrootkit ps ls sniffer | |||
untuk melihat data lebih banyak | |||
./chkrootkit -x | more | |||
Melihat pathname dalam sistem command | |||
./chkrootkit -x | egrep '^/' | |||
chkrootkit menggunakan command berikut untukl melakukan test: awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, uname. Pakai option -p untuk memberikan alternate path untuk chkrootkit agar tidak menggunakan system command yang mungkin sudah terinfeksi. Contoh, | |||
./chkrootkit -p /cdrom/bin | |||
Untuk beberapa path. | |||
./chkrootkit -p /cdrom/bin:/floppy/mybin | |||
Ada baiknya mount disk mesin yang ter-compromise ke mesin yang bisa di percaya, misalnya disk ada di /mnt, gunakan. | |||
./chkrootkit -r /mnt | |||
==Output Messages== | ==Output Messages== | ||
Output | |||
* '''INFECTED''': Tes tersebut telah mengidentifikasi sebuah perintah yang mungkin dimodifikasi oleh rootkit yang diketahui; | |||
* '''not infected''': Tes tersebut tidak menemukan tanda tangan rootkit yang diketahui. | |||
* '''not tested''': Tes tidak dilakukan - ini bisa terjadi dalam situasi berikut: | |||
** Test adalah OS spesifik; | |||
** Tes tergantung pada program eksternal yang tidak tersedia; | |||
** Beberapa pilihan baris perintah tertentu diberikan. (Misalnya -r). | |||
* '''not found''': Perintah yang akan diuji tidak tersedia; | |||
* '''Vulnerable but disabled''': Perintahnya terinfeksi tapi tidak di gunakan. Tidak berjalan atau di-commented di inetd.conf | |||
==Sebuah trojan di temukan. Apa yang perlu saya lakukan?== | |||
Masalah terbesar anda adalah mesin anda telah disusupi dan | |||
orang jahat ini memiliki hak istimewa root. | |||
Mungkin anda bisa memecahkan masalah dengan hanya mengganti perintah yang kena trojan - cara terbaik adalah dengan menginstal ulang mesin dari media yang aman dan mengikuti rekomendasi keamanan vendor anda. | |||
==Referensi== | ==Referensi== | ||
Latest revision as of 01:13, 14 June 2017
What's chkrootkit?
Chkrootkit adalah tool untuk memeriksa tanda-tanda rootkit secara lokal.
Instalasi
Siapkan compiler
sudo su apt install make gcc
Download source code
cd /usr/local/src wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar zxvf chkrootkit.tar.gz cd /usr/local/src/chkrootkit-0.52/ make sense
Uninstall compiler
apt remove make gcc
Menjalankan
cd /usr/local/src/chkrootkit-0.52 ./chkrootkit
atau
cd /usr/local/src/chkrootkit-0.52 ./chkrootkit -q
Penggunaan
# ./chkrootkit
Usage: ./chkrootkit [options] [test ...]
Options:
-h show this help and exit
-V show version information and exit
-l show available tests and exit
-d debug
-q quiet mode
-x expert mode
-r dir use dir as the root directory
-p dir1:dir2:dirN path for the external commands used by chkrootkit
-n skip NFS mounted dirs
testname salah satu atau lebih dari daftar berikut,
aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp amd basename biff chfn chsh cron crontab date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write
Contoh
./chkrootkit ps ls sniffer
untuk melihat data lebih banyak
./chkrootkit -x | more
Melihat pathname dalam sistem command
./chkrootkit -x | egrep '^/'
chkrootkit menggunakan command berikut untukl melakukan test: awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, uname. Pakai option -p untuk memberikan alternate path untuk chkrootkit agar tidak menggunakan system command yang mungkin sudah terinfeksi. Contoh,
./chkrootkit -p /cdrom/bin
Untuk beberapa path.
./chkrootkit -p /cdrom/bin:/floppy/mybin
Ada baiknya mount disk mesin yang ter-compromise ke mesin yang bisa di percaya, misalnya disk ada di /mnt, gunakan.
./chkrootkit -r /mnt
Output Messages
Output
- INFECTED: Tes tersebut telah mengidentifikasi sebuah perintah yang mungkin dimodifikasi oleh rootkit yang diketahui;
- not infected: Tes tersebut tidak menemukan tanda tangan rootkit yang diketahui.
- not tested: Tes tidak dilakukan - ini bisa terjadi dalam situasi berikut:
- Test adalah OS spesifik;
- Tes tergantung pada program eksternal yang tidak tersedia;
- Beberapa pilihan baris perintah tertentu diberikan. (Misalnya -r).
- not found: Perintah yang akan diuji tidak tersedia;
- Vulnerable but disabled: Perintahnya terinfeksi tapi tidak di gunakan. Tidak berjalan atau di-commented di inetd.conf
Sebuah trojan di temukan. Apa yang perlu saya lakukan?
Masalah terbesar anda adalah mesin anda telah disusupi dan orang jahat ini memiliki hak istimewa root.
Mungkin anda bisa memecahkan masalah dengan hanya mengganti perintah yang kena trojan - cara terbaik adalah dengan menginstal ulang mesin dari media yang aman dan mengikuti rekomendasi keamanan vendor anda.
