chkrootkit (сокращение от check rootkit / поиск руткитов) — консольная утилита, сканер для поиска враждебного кода (rootkit) и иных подозрительных событий в локальной системе.
chkrootkit с помощью комплексного использования системных утилит (awk, cut, echo, egrep, find, head, id, ls, netstat, ps, strings, sed и uname) производит поиск подозрительных участков кода, выявляя расхождения сравнением запущенных процессов с информацией из /proc (виртуальная файловая система, механизм для ядра и его модулей, позволяющий посылать информацию процессам).
chkrootkit имеет модульную архитектуру, каждый модуль предназначен для разных методов проверки. Имеется модуль проверяющий системные бинарные файлы на модификацию руткитами, модуль поиска интерфейсов работающих на перехват пакетов, модуль проверяющий на наличие фактов удаления записей из лог-файла, модуль поиска следов известных LKM-троянов (Linux Kernel Module) и др...
chkrootkit по умолчанию (без дополнительных опций) проводит полную проверку системы по всем доступным тестам. Если сканер обнаружит что-то подозрительное, то только выдаст информацию о проблеме, удаление/исправление найденной проблемы в функционале утилиты не предусмотрено. С каждым выданным предупреждением пользователь должен разбираться сам, внимательно изучив проблему и убедившись что это не ошибка или ложное срабатывание а реальная угроза.
Для проведения регулярной проверки системы с помощью chkrootkit и отправки сообщений на электронный почтовый ящик необходимо добавить выполнение сканирования в планировщик (CRON). Инфицированная система может подменять значения при сканировании, поэтому при наличии подозрений рекомендуется запустить повторное сканирование в "режиме восстановления" или с помощью Live-системы.
chkrootkit для работы требует прав администратора (root), следует учитывать что на заражённой системе утилита может использоваться злоумышленником в противоположном значении, поэтому при наличии подозрений утилиту после сканирования лучше удалить (или использовать портативную версию).
Лицензия: FREE (Pangeia Informatica)
