Lo primero que debemos saber es ¿Qué diablos es un Rootkit? Así que la respuesta se la dejamos a Wikipedia:
Un rootkit es un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa “root” que significa raíz (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa “kit” que significa conjunto de herramientas (en referencia a los componentes de software que implementan este programa). El término “rootkit” tiene connotaciones negativas ya que se lo asocia al malware.
En otras palabras, usualmente se lo asocia con malware, que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o extraer información sensible.
Bien, una definición muy bonita pero ¿Cómo me protejo? Bueno, en este post no hablaré de como protegernos, sino de como saber si tenemos algún Rootkit en nuestro Sistema Operativo. Lo de la protección se lo dejo a mi colega 😀
Lo primero que hacemos es instalarnos el paquete rkhunter. En el resto de las distribuciones supongo que sepan como hacerlo, en Debian:
$ sudo aptitude install rkhunter
Actualización
En el archivo /etc/default/rkhunter se define que las actualizaciones de la base de datos sean semanales, que la verificación de rootkits sea diaria y que los resultados sean enviados por e-mail al administrador del sistema (root).
No obstante, si queremos asegurarnos, podemos actualizar la base de datos con el siguiente comando:
root@server:~# rkhunter --propupd
¿Como usarlo?
Para comprobar que nuestro sistema esté libro de estos «bichos» simplemente ejecutamos:
$ sudo rkhunter --check
La aplicación comenzará a realizar una serie de comprobaciones y en su momento nos pedirá oprimir la tecla ENTER para continuar. Todos los resultados los podremos consultar en el fichero /var/log/rkhunter.log
A mi me devuelve algo como esto.
Y en caso de encontrar «Warnings», como se eliminan? =)
En el archivo /var/log/rkhunter.log te dan la explicación del porqué los Warning, en la gran mayoría de casos se pueden ignorar.
Cordial saludos.
Gracias me dio un resumen algo así, donde me salio el Warning
System checks summary
=====================
File properties checks…
Files checked: 133
Suspect files: 1
Rootkit checks…
Rootkits checked : 242
Possible rootkits: 0
Applications checks…
All checks skipped
The system checks took: 1 minute and 46 seconds
All results have been written to the log file (/var/log/rkhunter.log)
Gracias por el tip, probado, el resultado cero RootKit.
No tengo muchos conocimientos de bash pero para mi arch me hice el siguiente etc/cron.dayli/rkhunter
#!/bin/sh
RKHUNTER=»/usr/bin/rkhunter»
FECHA=»echo -e ‘\n ####################`date`####################'»
DIR=»/var/log/rkhunter.daily.log»
${FECHA} >> ${DIR}; ${RKHUNTER} –update; ${RKHUNTER} –cronjob –report-warnings-only >> ${DIR}; export DISPLAY=:0 && notify-send «RKhunter chequeado»
Lo que hace es actualizar y mirar si hay rootkits basicamente y me deja el resultado en un archivo
Probado, 0 RootKit, gracias por el aporte.
System checks summary
=====================
File properties checks…
Files checked: 131
Suspect files: 0
Rootkit checks…
Rootkits checked : 242
Possible rootkits: 2
Rootkit names : Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit… que es esto??? Lo tengo que eliminar. Gracias adelantadas por la ayuda. Saludos.
Fíjate en este link : http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
posiblemente sea la solución a tu problema.
Gracias por el enlace, Oscar. Resolvio mi problema completamente. No me lo puedo creer, un bug en mi Debian Stable. El apocalipsis esta proximo :oP Saludos.
0 rootkits 😀
Se me hace gracioso que me salga de warning un folder oculto creado por java (/etc/.java).
jajaja
Buen aporte, gracias.
Saludos.
Hola Elav. Hace tiempo que no comentaba por aquí, aunque cada que puedo leo algunos de los artículos.
Justo hoy andaba revisando temas de seguridad y llegué al entrañable <.Linux
Ejecuté rkhunter y me aparecieron algunas alarmas:
/usr/bin/unhide.rb [ Warning ]
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Checking for passwd file changes [ Warning ]
Warning: User 'postfix' has been added to the passwd file.
Checking for group file changes [ Warning ]
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Checking for hidden files and directories [ Warning ]
Warning: Hidden directory found: /etc/.java
Warning: Hidden directory found: /dev/.udev
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
Warning: Hidden file found: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII text
Warning: Hidden file found: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML document text
Warning: Hidden file found: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML document text
¿Cómo debo interpretarlas y qué debo hacer para solucionar estas advertencias?
Nota: Veo que la última tiene que ver con sdk-android, el cual instalé recientemente para probar una aplicación (¿se podrá eliminar su lado rootkit y seguir usándolo o es mejor prescindir de ella?).
Saludos y reitero mis felicitaciones a KZKG^Gaara, a tí, y a todos los demás colaboradores (veo que ha crecido el equipo).
Disuculpa instale pero el momento de ejecutar este comando me sale esto
comando:
rkhunter -c
error:
Invalid BINDIR configuration option: Invalid directory found: JAVA_HOME=/usr/lib/jvm/java-7-oracle
Y no m escanea nada solo se queda asi y nada mas que puedo hacer o como lo resuelvo gracias???
hola me salio este resultado, me pueden ayudar… gracias
Checking the network…
Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ Skipped ]
Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]
Checking the local host…
Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]
Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ Warning ]
Checking for group file changes [ Warning ]
Checking root account shell history files [ None found ]
Performing system configuration file checks
Checking for SSH configuration file [ Not found ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]