Verificando integridade do nosso sistema

Uma ótima ferramenta para verificar se nosso sistema não foi vitima de qualquer “craker” é o chkrootkit. Pois bem, uma vez instalado, um rootkit em nossa máquina, irá alterar os arquivos binários do sistema, instalar novos módulos no Kernel e alterar o comportamento do sistema de várias formas para que não seja facilmente detectável. O processo do rootkit não aparecerá ao rodar o “ps -aux”, o módulo que ele inseriu no Kernel para alterar o comportamento do sistema não vai aparecer ao rodar o “lsmod”, e assim por diante.

Para instalar utilize o comando:
# apt-get install chkrootkit
# chkrootkit

Fique atendo nas mensagens que vão aparecer, as seguintes mensagens devem aparecer para que seu Server/PC não esteja com algum tipo de infecção: not found, not infected, nothing found e nothing deleted. Qualquer mensagem diferente você provavelmente estará um alguma praga.

Infelizmente o teste do chkrootkit não é confiável caso seja executado em uma máquina já infectada, pois muitos rootkits modificam os binários do sistema, de forma que ele não descubra as alterações feitas.

A única forma realmente confiável de fazer o teste é dar boot em algum live-CD e executar o teste a partir dele, um sistema limpo.

Neste caso, monte a partição onde o sistema principal está instalado e execute o chkrootkit usando o parâmetro “-r”, que permite especificar o diretório onde será feito o teste:

# mount /dev/hda1 /mnt/hda1
# chkrootkit /mnt/hda1

Fonte:
Livro: Linux, Guia Prático
Google.com.br
http://www.chkrootkit.org/