De acuerdo a la definición en wikipedia un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, llaves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos.

De hecho que un hacker (black hat) te instale un root kit en tu equipo Linux es la máxima intrusión a la que estarías expuesto. Recuerda que en GNU/Linux el peligro no son virus como en el mundo Windows sino las vulnerabilidades que se descubren a diario en los muy distintos programas que usa el sistema. Por eso la importancia de verificar y actualizar lo más continuo posible el sistema en su totalidad.

Se presentan dos utilerías que te permitirán verificar tu equipo por posibles cambios en los archivos y programas más comunes, ya que ha menudo los rootkits se disfrazan como programas de uso muy comun como ls o ps, incluso conservan la misma funcionalidad (que es el objetivo, que el usuario no se entere que ya ha sido hackeado con un rootkit) pero a la vez de manera furtiva realizan su trabajo de ejecutar comandos remotos, abrir puertos, realizar ataques DoS, instalar servidores Web ocultos, utilizar ancho de banda para transferencia de archivos, monitorear con keylogers, etc., etc.

 

chkrootkit

chkrootkit muy popular checador de rootkits, verifica localmente por señales de estos. Es una buena opción para equipos Desktop, laptops, incluso para servidores como un complemento más de este tipo de programas.

Para instalarlo (en Ubuntu):

sudo aptitude install chkrootkit

Se ejecuta sin argumentos de la siguiente manera:

$ chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
...

Es posible ver la lista de pruebas que chkrootkit puede realizar mediante la opción -l y ejecutar solo una o varias a la vez:

 

rkhunter

rkhunter es un checador de rootkits mucho más completo y potente que chkrootkit, es ideal para ser usado en servidores. En su página de descarga sostiene (a modo de broma) que verifica en eun 99.9% que estás libre de indeseables rootkits, es decir, realmente se trata de una capa más de seguridad. rkhunter verifica el sistema por:

  • Comparación de hashes MD5
  • Busca por archivos comunes usados por rootkits
  • Permisos equivocados para binarios
  • Busca por cadenas de texto sospechosoas en módulos LKM (Loadable Kernel Modules) y KLD (Kernel Loadable Device)
  • Busca por archivos ocultos
  • Opciones de escaneo dentro de archivos binarios y planos

Para instalarlo (en Ubuntu):

$ sudo aptitude install rkhunter

Una vez instalado, la manera más básica de ejecutar rkhunter es asi:

$ rkhunter -c
[ Rootkit Hunter version 1.3.2 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                         [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                  [ None found ]
    Checking for preload file                          [ Not found ]
    Checking LD_LIBRARY_PATH variable                  [ Not found ]

  Performing file properties checks
    Checking for prerequisites                         [ OK ]
    /bin/awk                                           [ OK ]
    /bin/basename                                      [ OK ]
    /bin/bash                                          [ OK ]
    /bin/cat                                           [ OK ]
    /bin/chmod                                         [ OK ]
    /bin/chown                                         [ OK ]
    /bin/cp                                            [ OK ]
    /bin/csh                                           [ OK ]
    /bin/cut                                           [ OK ]
    /bin/date                                          [ OK ]
    /bin/df                                            [ OK ]
  ....  (varias líneas más)

rkhunter con la opción -c realiza un escaneo muy completo del sistema, no es posible apreciarlo aquí, pero en cada sección del escaneo la salida se interrumpe como para poder analizarlo, y hasta que no se presiones ‘Enter’ continua. Puedes deshacerte de este comportamiento interactivo con la opción –sk, por cierto, la lista de opciones o ayuda, la obtienes invocando rkhunter sin ningún argumento.

Si hubiera algo que reportar, el archivo /var/log/rkhunter.log, pero puedes cambiar la salida del archivo a otro que tu desees:

$ rkhunter -c --sk --logfile /root/rkhunter20100109.txt

Lo anterior enviará toda la salida al archivo indicado y sin hacer pausas para continuar. También es posible realizar pruebas personalizadas y no todas a la vez.

$ rkhunter --list   (lista de pruebas posibles)
Available test names:
    additional_rkts all apps attributes deleted_files filesystem
    group_accounts group_changes hashes hidden_procs immutable
    known_rkts local_host malware network none os_specific
    other_malware packet_cap_apps passwd_changes ports
    possible_rkt_files possible_rkts possible_rkt_strings promisc
    properties rootkits running_procs scripts shared_libs
    shared_libs_path startup_files startup_malware strings suspscan
    system_commands system_configs trojans

Grouped test names:
    additional_rkts => possible_rkt_files possible_rkt_strings
    group_accounts  => group_changes passwd_changes
    local_host      => filesystem group_changes passwd_changes
                       startup_malware system_configs
    malware         => deleted_files hidden_procs other_malware
                       running_procs suspscan
	...
(varias líneas más)

$ rkhunter --enable hidden_procs,system_commands
(se ejecutan solo las pruebas deseadas)

$ rkhunter --disable system_commands
(lo contrario, se ejecutan todas las pruebas menos la indicada(s))

Como ya se mencionó previamente, es conveniente que se ejecute periódicamente a través de un cron y con un control por fechas de los reportes que se generan, asi se teendrá una bitacora muy completa de cuando pudieron ocurrir cambios en el sistema.

También, recuerda que estos anti-rootkits son solo una medida de seguridad más para la protección de tu sistema, hay que actualizar continuamente, apagar los servicios que no se usen, configurar adecuadamente ssh, apache, servidores de correo, etc.

 

Via: http://www.linuxtotal.com.mx