Si vous avez un doute sur l'intégrité de votre système (Linux / Unix) et que vous voulez savoir si certains processus n'ont pas été cachés à votre insu, il existe un petit outil bien pratique. Unhide permet de détecter les process cachés, mais aussi les ports ouverts que vous ne voyez pas avec la commande netstat.
Pour l'installer sur Ubuntu, il suffit d'un petit
sudo apt-get install unhide
Ensuite, il y a une tripotée de paramètres, mais grosso modo, voici les tests standards (mettez sudo devant) :
- unhide-linux26 proc : Va comparer le contenu de /proc avec le résultat d'un ps
- unhide-linux26 sys : Va comparer la liste des appels systèmes avec le résultat d'un ps
- unhide-linux26 brute : Va faire un bruteforce sur tous les ID des process. C'est la solution la plus efficace
Et pour les ports TCP/UDP cachés, lancez la commande :
- unhide-tcp
Pas de panique si ce dernier vous trouve des trucs pour les ports, ce ne sont pas forcement des malwares ou des softs mal configurés, mais peut être des sondes mises en place par votre hébergeur...etc.
À noter qu'une version Windows de Unhide existe et est dispo ici.
24 Responses to “Unhide – Trouver les processus cachés”
Je recommande également rkhunter qui par exemple me fait des rapports journaliers du type :
Warning: Network TCP port 6667 is being used by /home/services/irc/Unreal3.2/src/ircd. Possible rootkit: Possible rogue IRC bot
Use the ‘lsof -i’ or ‘netstat -an’ command to check this.
Warning: Network TCP port 6668 is being used by /home/services/irc/Unreal3.2/src/ircd. Possible rootkit: Possible rogue IRC bot
Use the ‘lsof -i’ or ‘netstat -an’ command to check this.
Warning: Network TCP port 7000 is being used by /home/services/irc/Unreal3.2/src/ircd. Possible rootkit: Possible rogue IRC bot
Use the ‘lsof -i’ or ‘netstat -an’ command to check this.
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Oui tu heberges un serveur IRC …
Ça je le sais, j’illustrais simplement quel type de message rkhunter est susceptible de transmettre. La création d’un nouvel utilisateur, l’ajout d’un service particulier, etc, sont traités et remonté par cet outil.
C’est justement l’un des paquet suggéré lors d’un apt-get install unhide ^^
Je ne savais pas qu’on pouvait caché des process. Quelqu’un pour expliquer comment qu’on fait car ça me fait penser à de bonnes blagues à faire.
Mmm si c’est des outils en mode utilisateur (même root), ils se feront abusés par un rootkit en mode noyau, non ?
Ah, j’oublais : Script Kiddie spotted :)
Pour récupérer un process l’outil que tu utilises appelle une fonction système. Si cette fonction système a été détournée alors il suffit “d’oublier” certain processus, c’est le principe des RootKit. De même que certains processus système légitimes peuvent être masqués par le système en lui-même.
Idem pour les ports TCP-UDP.
Il existe certaines méthodes pour vérifier rien qu’en se basant sur des incohérences, par exemple tu peux tenter une connexion TCP sur tous les ports de ta machine et voir ceux qui décrochent puis les comparer avec le liste des port TCP utilisés “officiellement” et si tu vois une différence, c’est potentiellement suspect.
Autre possibilité, tenter de s’octroyer tous les port TCP et UDP (en les libérant immédiatement of course) et ceux qui seront déjà ouvert (et donc utilisés par un autre processus) retourneront une erreur du coup ça nous donne la liste des ports réellement ouvert à comparer avec la liste “officielle”.
Bien sûr cette méthode a des failles (par exemple un port encore en TIME_WAIT mais qui expire justement après la boucle d’attribution) mais bon, ça reste une méthode simple à programmer.
Sinon Unhide est open source donc on peut toujours voir quelles méthodes il emploi (j’ai pas encore regardé).
Oui, pour les ports TCP, mais pour les processus cachés ?
Et que peut-on faire quand il y’a des hidden process trouvé sur Kubuntu ?
Même principe sauf que la tu tapes dans les numéros de PID de zéro à xxxxx tu stockes ceux qui ont été accessibles (ou refusés fautes de droits mais qui sont donc bien vivants) et tu compares ensuite avec la liste “officielle” des PID des process visibles.
Déjà vérifier si se sont des processus “légitimes”, et à la question “mais comment vérifier si se sont des processus légitimes”, je propose le mar de café, les incantations, la boule de cristal ;-)
C’est ce que je me disais, mais c’est un peu bourrin comme solution.
En plus, si le noyau est modifié de manière à protéger certains PID en disant “oui oui ils sont libres” alors qu’en fait c’est “non non ils sont pris par un processus” …
c’est quoi la commande pour la mar de café ? j’suis un peu novice
Tu as la commande nespress -o par exemple mais tu peux pas l’exécuter partout
Sur ma Debian:
# unhide-linux26 sys…HIDDEN Processes Found: 1 sysinfo.procs = 411 ps_count = 413
Je pense que c’est normal mais j’aimerai bien savoir ce que c’est…
Merci pour tes explications !
Merci, j’ai bien ris ! C’est un peu méchant mais bien drôle :D
Moi j’ai eu 1023 ports et une petite cinquantaine de PS… Va falloir que je me les palluche un par un ?!?
Méchant ? heu c’était pas le but, je croyais qu’il continuait dans ma blague, alors du coup j’ai essayé de faire un petit jeux de mot de geek ;-)
Donc si jamais Impopo me lit, qu’il ne s’offusque pas !
Ce que j’aime sur ce blog c’est souvent les commentaires qui nous permettent de decouvrir d’autres softs merci @01068211451ad394610e2bd065be756e:disqus
Mets-y un sudo et ca te fera deja 1023 ports en moins ;)
Ok, merci …