Chkrootkit, Check Rootkit, è un programma per Linux in grado di rilevare noti rootkit presenti nel sistema.
Il rootkit altro non è che un software utilizzato dagli hacker per prendere il controllo di un computer o di un server senza lasciare tracce.
In pratica, chkrootkit è uno script shell (un piccolo programma che può essere eseguito da linea di comando) che raccoglie in sé una serie di tool tipici del mondo Unix/Linux e permette di verificare l’integrità del sistema attraverso il controllo delle signature di programmi base del sistema e tramite il confronto del contenuto del filesystem /proc con l’output del comando ps (process status) alla ricerca di differenze.
Può essere utilizzato anche da un rescue disk, solitamente un CD Live, come quelli che tutte le grandi distribuzioni Linux (ad esempio Fedora e Ubuntu) mettono a disposizione.
Anche in questo caso, l’installazione in ambiente Ubuntu è semplice e basta digitare da linea di comando:
sudo apt-get install chkrootkit
L’help in linea è ricco e ben dettaglio, per poter studiare tutte le funzionalità e potenzialità del comando.
sudo chkrootkit -h
Un comando molto utile è il seguente
sudo chkrootkit -l
che presenta un elenco di tutti i possibili test.
Per eseguire chkrootkit, è necessario farlo girare con i privilegi di root naturalmente, per cui l’esecuzione è la seguente:
sudo chkrootkit