L'article How to scan your Linux-Distro for Root Kits sur HowtoForge nous présente une méthode sécurisée pour scanner sa distribution Linux à la recherche de Root Kits, à l'aide de l'utilitaire chkrootkit.

En résumé, il est carrément déconseillé d'installer chkrootkit sur son système, et de le lancer bêtement de temps en temps. En effet, si un attaquant prends le controle de la machine, il lui est très facile de modifier l'installation afin qu'elle ne détecte pas sa présence. Il faut donc compiler chkrootkit, et le copier sur un support extractible, ou en lecture seule.

Télécharger chkrootkit :

# wget http://ftp.bit.nl/mirror/chkrootkit/chkrootkit.tar.gz
# wget http://ftp.bit.nl/mirror/chkrootkit/chkrootkit.md5
# md5sum -c chkrootkit.md5

Compiler chkrootkit :

# tar -xzf chkrootkit.tar.gz
# cd chkrootkit-0.46a/
# make sense

Lancer chkrootkit :

# ./chkrootkit

Et ne pas oublier de copier le dossier ainsi créé sur un support inaltérable, depuis lequel on pourra lancer régulièrement le scan du système.