Detectando Rookits en Linux

Rudy Flores

Este post esta pensado como una continuación o complemento del anterior post sobre ClamAV puesto que ClamAV solo busca malware y no rootkits.

¿Que es un Rookits?

Un Rootkit es un programa o conjunto de programas maliciosos que permiten a un intruso esconder su presencia en un sistema, encubrir las acciones de virus y malware para facilitar más adelante el acceso al sistema.

¿Como detectar un Rootkits en Linux?

En entornos Unix y Linux Chkrootkit y Rkhunter son las herramientas más populares para la busqueda de Rootkits las cuales se centran en analizar tu sistema en busca de rootkits y cambios sospechosos en configuraciones críticas del sistema.

Instalar Chkrootkit y Rkhunter

Chkrootkit y Rkhunter se encuentran en la mayoría de los repositorios oficiales de las distribuciones GNU/Linux, Para instalarlos en Debían, Ubuntu y sus derivados se deben ejecutar los siguientes comandos:

Instalar chkrootkit:

sudo apt install chkrootkit

Instalar rkhunter:

sudo apt install rkhunter

Aparecerá un prompt pidiéndo información sobre la configuración del servidor de correo, seleccionar la primera opción y seguir adelante.

Actualizar Base de Firmas

sudo rkhunter --update

Si al tratar de actualizar rkhunter aparece un error esta podría ser la solución:

Basta modificar los parámetros siguientes en el fichero /etc/rkhunter.cfg

UPDATE_MIRRORS=0
MIRRORS_MODE=1
WEB_CMD=“/bin/false”

con los siguientes valores…

UPDATE_MIRRORS=1
MIRRORS_MODE=0
WEB_CMD=“”

Analizando el sistema

para analizar con chkrootkit se ejecuta el siguiente comando:

sudo chkrootkit

para analizar con rkhunter se ejecuta el siguiente comando:

sudo rkhunter --checkall

Para ver los logs del resultado del escaneo se debe ver el archivo rkhunter.log con el comando:

cat /var/log/rkhunter.log

En Resumen

Ambas herramientas solo cumplen con la función de realizar un escaneo y no así de contrarrestar o eliminar una amenaza. Es posible toparse con falsos positivos, en muy raras ocasiones ambas herramientas, pero si se tiene la duda una búsqueda en Google podría descartar si se tratara o no de un falso positivo.

Aquí termina esta entrada espero que te sea de utilidad y aclare tus dudas. pronto habrá una próxima entrada con mas noticias, novedades y laboratorios.

One thought on “Detectando Rookits en Linux

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *