Ogni attacco informatico si conclude, in genere, con la cancellazione delle tracce che possono rilevare la presenza dell'intruso nel sistema e con l'installazione di un rootkit. Ma di cosa si tratta esattamente? Un rootkit, in particolare sui sistemi GNU/Linux, non è altro che una copia modificata ad-hoc di un programma di gestione di uso comune. Questo, al suo interno, oltre ai normali strumenti di cui è dotato il software o script originale, integra funzionalità che garantiscono facili accessi futuri alla macchina compromessa e controllo completo del sistema senza destare sospetti. Tutto questo grazie al fatto che i rootkit si sostituiscono ai normali programmi, in particolare quelli di amministrazione. Fatta questa premessa, anche se è vero che i rootkit entrano in azione quando il PC è ormai compromesso, è ancora possibile fare qualcosa. Infatti, pur se pressoché “invisibili, anche questi particolari programmi lasciano le tracce della loro presenza. Fortunatamente, tali tracce sono rilevabili con appositi software tra i quali uno dei più potenti è chkrootkit o Check Rootkit ( www.chkrootkit.org). L'uso di questo programma è molto semplice. Per avviarlo basta, infatti, eseguire (da root) il comando chkrootkit. Così facendo immediatamente verrà effettuata la scansione del sistema per scovare eventuali rootkit. Durante questa fase, ogni file analizzato è seguito da frasi del tipo not found, not infected, nothing detected, nothing found, per confermare che i file sono stati controllati e non è stata rilevata la presenza di rootkit. Come è possibile vedere analizzando l'output di chkrootkit, questo programma controlla i comandi di sistema fondamentali, i file di configurazione e altri aspetti fondamentali per la sicurezza del computer.

Scansione del sistema per rilevare la presenza di eventuali rootkit