Lo primero que debemos saber es ¿Qué diablos es un Rootkit? Así que la respuesta se la dejamos a Wikipedia:
Un rootkit es un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa “root” que significa raíz (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa “kit” que significa conjunto de herramientas (en referencia a los componentes de software que implementan este programa). El término “rootkit” tiene connotaciones negativas ya que se lo asocia al malware.
En otras palabras, usualmente se lo asocia con malware, que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o extraer información sensible.
Bien, una definición muy bonita pero ¿Cómo me protejo? Bueno, en este post no hablaré de como protegernos, sino de como saber si tenemos algún Rootkit en nuestro Sistema Operativo. Lo de la protección se lo dejo a mi colega
Lo primero que hacemos es instalarnos el paquete rkhunter. En el resto de las distribuciones supongo que sepan como hacerlo, en Debian:
$ sudo aptitude install rkhunter
Actualización
En el archivo /etc/default/rkhunter se define que las actualizaciones de la base de datos sean semanales, que la verificación de rootkits sea diaria y que los resultados sean enviados por e-mail al administrador del sistema (root).
No obstante, si queremos asegurarnos, podemos actualizar la base de datos con el siguiente comando:
root@server:~# rkhunter --propupd
¿Como usarlo?
Para comprobar que nuestro sistema esté libro de estos «bichos» simplemente ejecutamos:
$ sudo rkhunter --check
La aplicación comenzará a realizar una serie de comprobaciones y en su momento nos pedirá oprimir la tecla ENTER para continuar. Todos los resultados los podremos consultar en el fichero /var/log/rkhunter.log
A mi me devuelve algo como esto.