Si vous avez un doute sur l’intégrité de votre système (Linux / Unix) et que vous voulez savoir si certains processus n’ont pas été cachés à votre insu, il existe un petit outil bien pratique. Unhide permet de détecter les process cachés, mais aussi les ports ouverts que vous ne voyez pas avec la commande netstat.
Pour l’installer sur Ubuntu, il suffit d’un petit
sudo apt-get install unhide
Ensuite, il y a une tripotée de paramètres, mais grosso modo, voici les tests standards (mettez sudo devant) :
- unhide-linux26 proc : Va comparer le contenu de /proc avec le résultat d’un ps
- unhide-linux26 sys : Va comparer la liste des appels systèmes avec le résultat d’un ps
- unhide-linux26 brute : Va faire un bruteforce sur tous les ID des process. C’est la solution la plus efficace
Et pour les ports TCP/UDP cachés, lancez la commande :
- unhide-tcp
Pas de panique si ce dernier vous trouve des trucs pour les ports, ce ne sont pas forcement des malwares ou des softs mal configurés, mais peut être des sondes mises en place par votre hébergeur…etc.
À noter qu’une version Windows de Unhide existe et est dispo ici.