Lo primero que debemos saber es ¿Qué es un rootkit?
Un rootkit es un conjunto de software que permite un acceso de privilegio continuo a un ordenador pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa root, que significa 'raíz' (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa kit, que significa 'conjunto de herramientas' (en referencia a los componentes de software que implementan este programa). Algunas versiones en español de programas informáticos lo han traducido como «encubridor».Teniendo en conocimiento del concepto de un rootkit, ya te tiene una idea de que manera un usuario o servidor bajo sistemas UNIX más específicamente GNU/Linux puede ser atacado a continuación mostraré como se puede usar las herramientas rkhunter y chkrootkit para determinar si el sistema se encuentra comprometido por ello.
Fuente: wikipedia.
Lo primero que debemos hacer es descargar ambas herramientas en las siguientes url:
http://www.chkrootkit.org/
http://rkhunter.sourceforge.net/
Podemos usar wget para descargar los archivos, Una vez teniendo los archivos comenzamos....
Primero instalamos chkrootkit y procedemos a probarlo.
Teniendo el archivo de fuentes empaquetado y comprimido como .tar.gz procedemos a descomprimirlo e instalarlo con los siguientes comandos en modo root estando en el directorio donde se descargaron:
tar xvzf chkrootkit.tar.gz
cd chkrootkit (o el directorio donde se haya descomprimido)
make sense (se compilan los fuentes en C mas no se instala)
make install sense (se compila y se instala)
Teniendo ya instalado o compilado chkrootkit solo tenemos que ejecutar como root:
./chkrootkit (caso de solo haberlo compilado hay que estar en el dir donde se compiló).
chrootkit (caso de estar instalado).
Esta herramienta verifica que no exista ningún rootkit y muestra la siguiente salida si no encontro el mismo:
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
...
Segundo instalamos rkhunter y procedemos a probarlo.
El proceso para este es muy parecido pero el mismo tiene un archivos .sh que instala la herramienta completamente recuerden que para instalarlo se debe estar en modo root o logueado como root:
tar xvzf rkhunter-1.3.2.tar.gz
cd rkhunter (o el directorio donde se haya descomprimido)
./installer.sh --layout default --show
Para ejecutar rkhunter solo debemos como root ejecutar el siguiente comando:
rkhunter -c
El mismo realiza la verificación y si no detecto nada muestra la siguiente salida por pantalla.
[ Rootkit Hunter version 1.3.2 ]
Checking system commands...
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preload file [ Not found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
Performing file properties checks
Checking for prerequisites [ OK ]
/bin/awk [ OK ]
/bin/basename [ OK ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/csh [ OK ]
/bin/cut [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
....
Si te gusto esta entrada no dudes en realizar un donativo visita la opción ayuda del menú.
No hay comentarios:
Publicar un comentario