---
date: 2017-07-24T21:11:35+02:00
description: "Que faire en cas de message de chkrootkit : Suckit rootkit... Warning: /sbin/init INFECTED ?"
draft: false
tags: ['chkrootkit','suckit','init','detection','intrusion']
title: "Chkrootkit : Suckit Rootkit Sbin Init Infected"
---
## Description
Chkrootkit émet cette alerte :
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
!
**Déjà, si votre installation est fraîche, ne paniquez pas ; de toute façon,
cela ne sert jamais à rien !**
## Analyse
Déjà, si j'ai bien compris, il y a de grandes probabilités pour que ce soit
un faux positif, qui traîne depuis longtemps - cf : le bogue #[454566][1] -,
et qui semble être résolu avec la version 0.50.
Mais avant de courir pour mettre-à-jour votre version, analysons ce qui peut l'être !
Ensuite, si j'ai bien compris quand la machine est infectée par ce rootkit
Suckit, elle place la chaîne **HOME** dans le répertoire `/sbin/init`.
⇒ Une première analyse commence avec la commande suivante :
`$ ls -li /sbin/init /sbin/telinit`
`130357 -rwxr-xr-x 1 root root 265848 juil. 18 2014 /sbin/init`
`130426 -rwxr-xr-x 1 root root 104728 juil. 18 2014 /sbin/telinit`
Si vous ressortez le même résultat, c'est déjà bon signe…
⇒ Continuons l'analyse et vérifions la présence de chaîne **HOME** :
`$ strings /sbin/init | grep -E HOME`
Normalement, il ne devrait RIEN avoir dans ce répertoire !
Mais dans le cas de distribution récente, telle que depuis Ubuntu (et assimilée) Trusty,
vous aurez exactement cette sortie, qui semble tout autant normale :
`$ strings /sbin/init | egrep HOME`
`XDG_CACHE_HOME`
`XDG_CONFIG_HOME`
Pas de panique : apparemment, ce sont des [spécifications liées au standard FreeDesktop][2]…
⇒ Continuons l'analyse, avec la commande :
`# cat /proc/1/maps | grep -E "init."`
**Normalement, aucun retour ne devrait être fait !**
⇒ Vérifions la somme md5 du binaire **init**, puis comparons-la avec l'officielle :
`$ md5sum /sbin/init`
`249b19aaa268143c3a0b3d6aa9faa070 /sbin/init`
`$ grep "sbin/init$" /var/lib/dpkg/info/upstart.md5sums`
`249b19aaa268143c3a0b3d6aa9faa070 sbin/init`
Si les sommes sont similaires, c'est un autre bon signe…
L'autre moyen - **à préférer** - est de :
* télécharger le packet **upstart** de votre distribution - *vérifier que
vous télécharger bien l'exacte version correspondante !* -,
* l'extraire,
* et faire une comparaison des sommes ; **le mieux étant de la faire avec `sha256sum`, voire `sha512sum`** !
⇒ Histoire d'être ABSOLUMENT sûr que vous avez bien à faire à
ce fameux faux positif, exécutez la suite de commande, ci-dessous :
`$ cd /sbin`
`$ ls -l init`
`-rwxr-xr-x 1 root root 265848 juil. 18 2014 init`
Si vous voyez bien `1`, c'est bon !
⇒ finissons-en avec :
`$ ln /sbin/init /sbin/init2`
`$ ls -l init`
`-rwxr-xr-x 2 root root 265848 juil. 18 2014 init`
Si vous lisez bien `2`, et non pas `1`, c'est que vous êtes bon !
Félicitations !!!
*Pensez à supprimer le lien `init2`.*
---
### rkhunter
Une autre manière de vérifier est d'exécuter **rkhunter** :
`rkhunter --checkall --report-warnings-only`
Si, à la fin de l'analyse, vous n'avez rien - *ce qui devrait être le cas,
après avoir vérifié comme précédemment* - c'est que c'est vraiment tout bon !
## Mise à jour
Si c'est possible, mettez-à-jour la version de **chkrootkit** vers la v0.50, minimum !
---
[1]: https://bugs.launchpad.net/cyborg/+bug/454566
[2]: http://standards.freedesktop.org/basedir-spec/basedir-spec-latest.html