Bienvenidos a este nuevo artículo. Supongo que en vuestro sistema operativo Linux tenéis instalado un antivirus, como por ejemplo ClamAV, de instalarlo y utilizarlo ya hablé en este otro artículo.
Pero ahí no termina el tema de la seguridad en Linux, deberíais estar protegidos contra los tan nombrados rootkits.
Que es un rootkit?
Un rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos
informáticos o crackers que consiguen acceder ilícitamente a un sistema
informático. Estas herramientas sirven para esconder los procesos y
archivos que permiten al intruso mantener el acceso al sistema, a menudo
con fines maliciosos.
Usualmente, un atacante instala un rootkit en una computadora después de primero haber obtenido un acceso al nivel raíz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contraseña (ya sea por crackeo de la encriptación o por ingeniería social). Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización. Pese a que los rootktis pueden servir con muchos fines, han ganado notoriedad fundamentalmente como malware, escondiendo programas que se apropian de los recursos de las computadoras o que roban contraseñas sin el conocimiento de los administradores y de los usuarios de los sistemas afectados. Los rootkits pueden estar dirigidos al firmware, al hipervisor, al núcleo, ó , más comúnmente, a los programas del usuario.
Hay varios programas disponibles para detectar rootkits. En los sistemas basados en GNU/Linux, dos de las aplicaciones más populares son chkrootkit y rkhunter.
rkhunter detecta los rootkits, las puertas traseras y los exploit locales mediante la comparación de los resúmenes MD5 de ficheros importantes con su firma correcta en una base de datos en línea, buscando los directorios por defecto (de rootkits), los permisos incorrectos, los archivos ocultos, las cadenas sospechosas en los módulos del kernel, y las pruebas especiales para Linux. Pero no los elimina, eso es una tarea manual por vuestra parte.
Nosotros vamos a instalar rkhunter con la siguiente instrucción en el terminal:
$ sudo apt-get install rkhunter
Primero para comprobar si hay actualizaciones de las bases de datos:
$ sudo rkhunter --update
Y para ejecutarlo:
$ sudo rkhunter --check
Nos dará un sumario al terminar y nos guardará los resultados en el archivo /var/log/rkhunter.log, para que podamos consultar los warnings que nos vaya dando, que no significa que sea un rootkit detectado, puede dar falsos positivos que tendremos que cotejar y consultar por la web en los foros o sitios web de malware, como por ejemplo https://sourceforge.net/projects/rkhunter que es el sitio web donde llevan el proyecto rkhunter.
En mi caso me ha dado unos warnings que ya cotejé y son falsos positivos.
Espero os sirva de ayuda.
En mi caso me ha dado unos warnings que ya cotejé y son falsos positivos.
Espero os sirva de ayuda.
gracias por el artículo.
ResponderEliminarDe nada
EliminarEntonces para intentar de securizar mi máquina debería tener implementados clamad y rkhunter? o solo con rkhunter serviría? lo pregunto porque clamad por lo que veo demanda más recursos..
ResponderEliminarHola, rkhunter es para detectar rootkits, y clamav tiene una base de datos de diferentes tipos de virus. clamad es el demonio o servicio de clamav y siempre está en proceso para descargar las últimas novedades en la base de datos de virus y otras operaciones automatizadas. En el caso que no quisieras tener en proceso el demonio clamad, puedes deshabilitar el servicio "clamav-daemon.service".
ResponderEliminarPara estar seguro, mejor tener instalados tanto clamav como rkhunter.
Saludos