Comprueba si tienes algún Rootkit en tu sistema con rkhunter

Alejandro (a.k.a KZKG^Gaara)

14 Comentarios

rkhunter

Lo primero que debemos saber es ¿Qué diablos es un Rootkit? Así que la respuesta se la dejamos a Wikipedia:

Un rootkit es un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa “root” que significa raíz (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa “kit” que significa conjunto de herramientas (en referencia a los componentes de software que implementan este programa). El término “rootkit” tiene connotaciones negativas ya que se lo asocia al malware.

En otras palabras, usualmente se lo asocia con malware, que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o extraer información sensible.

Bien, una definición muy bonita pero ¿Cómo me protejo? Bueno, en este post no hablaré de como protegernos, sino de como saber si tenemos algún Rootkit en nuestro Sistema Operativo. Lo de la protección se lo dejo a mi colega 😀

Lo primero que hacemos es instalarnos el paquete rkhunter. En el resto de las distribuciones supongo que sepan como hacerlo, en Debian:

$ sudo aptitude install rkhunter

Actualización

En el archivo /etc/default/rkhunter se define que las actualizaciones de la base de datos sean semanales, que la verificación de rootkits sea diaria y que los resultados sean enviados por e-mail al administrador del sistema (root).

No obstante, si queremos asegurarnos, podemos actualizar la base de datos con el siguiente comando:

root@server:~# rkhunter --propupd

¿Como usarlo?

Para comprobar que nuestro sistema esté libro de estos «bichos» simplemente ejecutamos:

$ sudo rkhunter --check

La aplicación comenzará a realizar una serie de comprobaciones y en su momento nos pedirá oprimir la tecla ENTER para continuar. Todos los resultados los podremos consultar en el fichero /var/log/rkhunter.log

A mi me devuelve algo como esto.


El contenido del artículo se adhiere a nuestros principios de ética editorial. Para notificar un error pincha aquí.

14 comentarios, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   Guillermo dijo
    hace 10 años

    Y en caso de encontrar «Warnings», como se eliminan? =)

    Responder a Guillermo
    1.    Jesús Ballesteros dijo
      hace 10 años

      En el archivo /var/log/rkhunter.log te dan la explicación del porqué los Warning, en la gran mayoría de casos se pueden ignorar.

      Cordial saludos.

      Responder a Jesús Ballesteros
      1.    Guillermo dijo
        hace 10 años

        Gracias me dio un resumen algo así, donde me salio el Warning

        System checks summary
        =====================

        File properties checks…
        Files checked: 133
        Suspect files: 1

        Rootkit checks…
        Rootkits checked : 242
        Possible rootkits: 0

        Applications checks…
        All checks skipped

        The system checks took: 1 minute and 46 seconds

        All results have been written to the log file (/var/log/rkhunter.log)

        Responder a Guillermo
  2.   Oscar dijo
    hace 10 años

    Gracias por el tip, probado, el resultado cero RootKit.

    Responder a Oscar
  3.   risketo dijo
    hace 10 años

    No tengo muchos conocimientos de bash pero para mi arch me hice el siguiente etc/cron.dayli/rkhunter

    #!/bin/sh
    RKHUNTER=»/usr/bin/rkhunter»
    FECHA=»echo -e ‘\n ####################`date`####################'»
    DIR=»/var/log/rkhunter.daily.log»

    ${FECHA} >> ${DIR}; ${RKHUNTER} –update; ${RKHUNTER} –cronjob –report-warnings-only >> ${DIR}; export DISPLAY=:0 && notify-send «RKhunter chequeado»

    Lo que hace es actualizar y mirar si hay rootkits basicamente y me deja el resultado en un archivo

    Responder a risketo
  4.   invisible15 dijo
    hace 10 años

    Probado, 0 RootKit, gracias por el aporte.

    Responder a invisible15
  5.   Killer_Queen dijo
    hace 10 años

    System checks summary
    =====================

    File properties checks…
    Files checked: 131
    Suspect files: 0

    Rootkit checks…
    Rootkits checked : 242
    Possible rootkits: 2
    Rootkit names : Xzibit Rootkit, Xzibit Rootkit

    Xzibit Rootkit… que es esto??? Lo tengo que eliminar. Gracias adelantadas por la ayuda. Saludos.

    Responder a Killer_Queen
    1.    Oscar dijo
      hace 10 años

      Fíjate en este link : http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
      posiblemente sea la solución a tu problema.

      Responder a Oscar
      1.    Killer_Queen dijo
        hace 10 años

        Gracias por el enlace, Oscar. Resolvio mi problema completamente. No me lo puedo creer, un bug en mi Debian Stable. El apocalipsis esta proximo :oP Saludos.

        Responder a Killer_Queen
  6.   DanielC dijo
    hace 10 años

    0 rootkits 😀

    Se me hace gracioso que me salga de warning un folder oculto creado por java (/etc/.java).
    jajaja

    Responder a DanielC
  7.   Carper dijo
    hace 10 años

    Buen aporte, gracias.
    Saludos.

    Responder a Carper
  8.   Trece dijo
    hace 10 años

    Hola Elav. Hace tiempo que no comentaba por aquí, aunque cada que puedo leo algunos de los artículos.

    Justo hoy andaba revisando temas de seguridad y llegué al entrañable <.Linux

    Ejecuté rkhunter y me aparecieron algunas alarmas:

    /usr/bin/unhide.rb [ Warning ]
    Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

    Checking for passwd file changes [ Warning ]
    Warning: User 'postfix' has been added to the passwd file.

    Checking for group file changes [ Warning ]
    Warning: Group 'postfix' has been added to the group file.
    Warning: Group 'postdrop' has been added to the group file.

    Checking for hidden files and directories [ Warning ]
    Warning: Hidden directory found: /etc/.java
    Warning: Hidden directory found: /dev/.udev
    Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
    Warning: Hidden file found: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII text
    Warning: Hidden file found: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML document text
    Warning: Hidden file found: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML document text

    ¿Cómo debo interpretarlas y qué debo hacer para solucionar estas advertencias?
    Nota: Veo que la última tiene que ver con sdk-android, el cual instalé recientemente para probar una aplicación (¿se podrá eliminar su lado rootkit y seguir usándolo o es mejor prescindir de ella?).

    Saludos y reitero mis felicitaciones a KZKG^Gaara, a tí, y a todos los demás colaboradores (veo que ha crecido el equipo).

    Responder a Trece
  9.   cmtl22 dijo
    hace 10 años

    Disuculpa instale pero el momento de ejecutar este comando me sale esto

    comando:
    rkhunter -c

    error:
    Invalid BINDIR configuration option: Invalid directory found: JAVA_HOME=/usr/lib/jvm/java-7-oracle

    Y no m escanea nada solo se queda asi y nada mas que puedo hacer o como lo resuelvo gracias???

    Responder a cmtl22
  10.   coma white dijo
    hace 10 años

    hola me salio este resultado, me pueden ayudar… gracias

    Checking the network…

    Performing checks on the network ports
    Checking for backdoor ports [ None found ]
    Checking for hidden ports [ Skipped ]

    Performing checks on the network interfaces
    Checking for promiscuous interfaces [ None found ]

    Checking the local host…

    Performing system boot checks
    Checking for local host name [ Found ]
    Checking for system startup files [ Found ]
    Checking system startup files for malware [ None found ]

    Performing group and account checks
    Checking for passwd file [ Found ]
    Checking for root equivalent (UID 0) accounts [ None found ]
    Checking for passwordless accounts [ None found ]
    Checking for passwd file changes [ Warning ]
    Checking for group file changes [ Warning ]
    Checking root account shell history files [ None found ]

    Performing system configuration file checks
    Checking for SSH configuration file [ Not found ]
    Checking for running syslog daemon [ Found ]
    Checking for syslog configuration file [ Found ]
    Checking if syslog remote logging is allowed [ Not allowed ]

    Performing filesystem checks
    Checking /dev for suspicious file types [ Warning ]
    Checking for hidden files and directories [ Warning ]

    Responder a coma white