Seguridad en Ubuntu (II): Rootkits
Para continuar con el tema de nuestra seguridad en el sistema operativo, vamos a ver a que se llama Rootkits y cómo buscarlos.
Que significa Rootkit?
Si desglosamos la palabra root: el superusuario, el usuario de mayor jerarquía del sistema operativo, el administrador del sistema; Y kit: conjunto, equipo, caja de herramientas.
Entonces, vamos a definir lo que es un rootkit: Es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a sí misma, esconder otros programas, procesos, directorios, archivos, procesos, llaves de registro y puertos, que en definitiva permiten a usuarios no autorizados obtener información sensible o mantener y comandar remotamente nuestra computadora.
Existen rootkits para Linux únicamente?
No, tambien existen para Windows, Solaris y otros sistemas operativos.
Entre los tipos de rootkits que podemos encontrar veremos los más sencillos de detectar, que funcionan a nivel de aplicaciones, que muchas veces reemplazan a ejecutables o modifican las acciones de dichas aplicaciones.
Los que actúan a nivel de kernel, produciendo modificaciones en el código en forma intrínseca en cambio son mucho mas difíciles de detectar y suelen agregarse a través de drivers o nuevos módulos, lo que dificulta mucho su detección.
Ahora, si sospechamos que somos víctimas de una herramienta de este tipo, podemos detectarlo?
A nivel de sistema operativo existen aplicaciones (que veremos enseguida) que realizan la búsqueda de rootkits pero ningún sistema operativo en ejecución es confiable para la detección y lo conveniente es ejecutar desde un CD-Rom o pendrive alguna herramienta de detección ya que un rootkit en estado inactivo, en un sistema operativo detenido es fácil de detectar.
La mayoría de antivirus actuales agrega a sus bases de datos información sobre estos, pero, dependen muchas veces del estado en que se encuentra el rootkit para ser o no detectado, como dije arriba y para hacer mas entendible: si el rootkit está integrado en el kernel de nuestra máquina será muy difícil detectarlo, pasando a depender del antivirus y su confiabilidad de que pueda detectarlo en algún momento de “reposo” del rootkit.
En Windows podemos encontrar diversas aplicaciones como RootkitRevealer o Blacklight (gratuita, pero de uso online)
En Linux veremos que existen dos aplicaciones a las cuales podemos hechar mano para escanear nuestra computadora de vez en cuando:
Chkrootkit: Esta herramienta verifica cambios en archivos binarios, si la interface está en modo promiscuo, busca varios troyanos, borrado de diversos logs del sistema, archivos php sospechosos, ssh por fuerza bruta y varias cosas mas. Es una de las herramientas mas simples y buenas en cuanto a detección.
Para instalarlo solo debemos hacer en consola:
$ sudo apt-get install chkrootkit
Para ejecutarlo basta con:
$ sudo chkrootkit
Si queremos ejecutarlo en modo experto:
$ sudo chkrootkit -x
RootkitHunter: es muy similar a chkrootkit y complementa perfectamente su uso ya que también puede escanear archivos de texto, archivos ocultos y nos da una lista bastante larga de rootkits detectados.
Para instalar debemos descargar desde la página oficial el paquete tar.gz
Una vez descargado lo descomprimimos y ejecutamos el script de instalación:
$ tar xvfz rkhunter-1.3.2.tar.gz
$ sudo ./installer.sh --layout default --install
Para ejecutarlo solo debemos hacer:
$ sudo rkhunter -c
Con lo que empieza la verificación, al terminar veremos un log que podemos leer en detalle en /var/log/rkhunter.log y nos da información mas detallada del análisis.
Por último, para actualizar la base de datos basta con un:
$ sudo rkhunter --update
Seguridad en Ubuntu (I): Firewall
Seguridad en Ubuntu (III): Antivirus
Completa esta lectura con:
Si te gustó este post, por favor considera dejar un comentario o suscribirte al feed y obtener artículos futuros en tu lector de feeds.
Comentarios (11)
muy util, tengo un servidor y la verdad que tengo que leer mucho de seguridad todavia, esto me hace las cosas un poco mas facil, gracias!
Hola,
Has escrito “…a las cuales podemos hechar mano…” y si te refieres al verbo echar, éste es SIN h. Será pues “Echar mano”
Es tan sencillo como usar un corrector de textos, el que viene en Firefox por defecto.
Salu2
Paquirrín.
Tienes razón, pero me queda una duda en relación a que verbo aplicaste:
“Has escrito…” - segunda persona singular del presente indicativo del verbo haber (tú has), su aplicación correcta sería por ejemplo: = (Tú) Has de escribir = precedido siempre por la preposición -de-
o quizá te refieras a
“Haz escrito…” - segunda persona singular del presente imperativo del verbo hacer (tú haz), por ejemplo: = (Tú) Haz escrito =
Y no, no es tan sencillo confiar en el corrector ortográfico que lleva al error de éste tipo, éstos, dificilmente entienden la sintaxis o el significado de las palabras en contexto.
Saludos
@Paquirrín: exacto, como dijo Pptux, confiar en un corrector que no comprende de sintaxis o contextos es muy difícil ya que suceden errores como el mío o el tuyo.
Particularmente siempre caigo en el mismo error en ese verbo, trataré de superar el mal hábito, espero vos también corrijas el mal hábito de la soberbia… con humildad, simpatía y respeto ganas mas en toda tu vida y no sólo frente a una pantalla.
@solio: gracias!
Saludos!
Personalmente, me gustaría decir que no sé en qué sitio viven y la norma puede variar de un sitio a otro, pero en español peninsular es más que correcto “has escrito”, segunda persona del pretérito perfecto compuesto de escribir (You have written, por hacer un símil)
De todas maneras es cierto que los correctores ortográficos no entienden de sintaxis, pero para eso está la persona, para saber si es “tu” o “tú”, etc.
Respecto a estos rootkits, comprendo cómo comprobar si hay archivos sospechosos, pero no tengo claro si el propio programa elimina el rootkit (por lo que veo, en el rkhunter seguramente no: tengo el log, pero no sé si borrar los archivos sospechosos que encuentra o qué =/ )
Te agradecería que me mandaras un mail explicándomelo =P
Saludos
[...] Próximo tema: Rootkits [...]