Este post esta pensado como una continuación o complemento del anterior post sobre ClamAV puesto que ClamAV solo busca malware y no rootkits.
¿Que es un Rookits?
Un Rootkit es un programa o conjunto de programas maliciosos que permiten a un intruso esconder su presencia en un sistema, encubrir las acciones de virus y malware para facilitar más adelante el acceso al sistema.
¿Como detectar un Rootkits en Linux?
En entornos Unix y Linux Chkrootkit y Rkhunter son las herramientas más populares para la busqueda de Rootkits las cuales se centran en analizar tu sistema en busca de rootkits y cambios sospechosos en configuraciones críticas del sistema.
Instalar Chkrootkit y Rkhunter
Chkrootkit y Rkhunter se encuentran en la mayoría de los repositorios oficiales de las distribuciones GNU/Linux, Para instalarlos en Debían, Ubuntu y sus derivados se deben ejecutar los siguientes comandos:
Instalar chkrootkit:
sudo apt install chkrootkit
Instalar rkhunter:
sudo apt install rkhunter
Aparecerá un prompt pidiéndo información sobre la configuración del servidor de correo, seleccionar la primera opción y seguir adelante.
Actualizar Base de Firmas
sudo rkhunter --update
Si al tratar de actualizar rkhunter aparece un error esta podría ser la solución:
Basta modificar los parámetros siguientes en el fichero /etc/rkhunter.cfg
UPDATE_MIRRORS=0
MIRRORS_MODE=1
WEB_CMD=“/bin/false”
con los siguientes valores…
UPDATE_MIRRORS=1
MIRRORS_MODE=0
WEB_CMD=“”
Analizando el sistema
para analizar con chkrootkit se ejecuta el siguiente comando:
sudo chkrootkit
para analizar con rkhunter se ejecuta el siguiente comando:
sudo rkhunter --checkall
Para ver los logs del resultado del escaneo se debe ver el archivo rkhunter.log con el comando:
cat /var/log/rkhunter.log
En Resumen
Ambas herramientas solo cumplen con la función de realizar un escaneo y no así de contrarrestar o eliminar una amenaza. Es posible toparse con falsos positivos, en muy raras ocasiones ambas herramientas, pero si se tiene la duda una búsqueda en Google podría descartar si se tratara o no de un falso positivo.
Aquí termina esta entrada espero que te sea de utilidad y aclare tus dudas. pronto habrá una próxima entrada con mas noticias, novedades y laboratorios.
Todos hablan de como detectar los rootkit, pero casi nadie dice como eliminarlos o que precauciones tomar