Rootkits
De acuerdo a la definición en wikipedia
un rootkit es una herramienta, o un grupo de ellas que tiene como
finalidad esconderse a sí misma y esconder otros programas, procesos,
archivos, directorios, llaves de registro, y puertos que permiten al
intruso mantener el acceso a un sistema para remotamente comandar
acciones o extraer información sensible, a menudo con fines maliciosos o
destructivos.De hecho que un hacker instale un root kit en un equipo Linux es la máxima intrusión a la que estaría expuesto. En GNU/Linux el peligro no son virus como en el mundo Windows sino las vulnerabilidades que se descubren a diario en los muy distintos programas que usa el sistema. Por eso la importancia de verificar y actualizar lo más continuo posible el sistema en su totalidad.
Para la detección de rootkits y deficiencias de seguridad podemos instalar el software rkhunter, disponible en la dirección http://www.rootkit.nl. Es un chequeador de rootkits muy completo y potente, ideal para ser usado en servidores. En su página de descarga sostiene (a modo de broma) que verifica en un 99.9% que estás libre de indeseables rootkits, es decir, realmente se trata de una capa más de seguridad. Rkhunter verifica el sistema por:
- Comparación de hashes MD5
- Busca por archivos comunes usados por rootkits
- Permisos equivocados para binarios
- Busca por cadenas de texto sospechosoas en módulos LKM (Loadable Kernel Modules) y KLD (Kernel Loadable Device)
- Busca por archivos ocultos
- Opciones de escaneo dentro de archivos binarios y planos
Una vez descargado descomprimir mediante:
#> tar xvzf rkhunter-1.4.0.tar.gz
Con el siguiente comando nos mostrará la ubicación de los archivos en el sistema:
./installer.sh --layout default --show -> mira la conf de instalación
./installer.sh --layout default --install -> Instala con un layout por defecto
rkhunter --propupd -> actualiza los .dat de las definiciones de rootkits
Revisar en el archivo /etc/rkhunter.conf
modificar el envio de mail y acceso a root.
Para ejecutar:
rkhunter -c --sk (sk skiping keystroke)
Después revisar el log, ubicado en /var/log/rkhunter.log. Aparecerán warnings usuales, revisarlos todos, no debe aparecer ninguno en rootkit test. La lista de warnings “normales” por scripts perls son:
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
efectuar un update periódico mediante
rkhunter --update.
