Zadaniem chkrootkit jest sprawdzenie czy system nie jest zainfekowany chrootkit. Sprawdza on binarki popularnych programów na okazję występowania charakterystycznych sygnatur. Jeżeli je znajdzie informuje o tym.
Instalacja programu
Program najlepiej zainstalować z pakietu. W przypadku dystrybucji Mandrake wydajemy polecenie
urpmi chkrookit
A w przypadku Debiana
apt-get install chkrootkit
Używanie programu
Przykładowa sesja programu to:
gateway:samhain# chkrootkit ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not infected [cat] Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for Ramen Worm files and dirs... nothing found [cat] Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found [cat] Checking `rexedcs'... not found Checking `sniffer'... eth0 is not promisc Checking `wted'... nothing deleted Checking `z2'... nothing deleted
Program jest wygodnie umieścić w crontabie aby cyklicznie był wykonywany. W przypadku dystrybucji Mandrake lub Debian najlepiej jest wykonać odpowiedni skrypt w katalogu /etc/cron.daily albo /etc/cron.hourly.