Cómo buscar rootkits en Linux, BSD y OSX

Aquellos de nosotros en UNIX (y sí, la gente de Mac, que te incluye a ti) no tenemos que lidiar a menudo con el malware. Hay espacio para el debate sobre las razones exactas de esto, pero pocos argumentarían que Linux, BSD y OSX son golpeados tan fuerte o tan a menudo como Windows. Sin embargo, esto no nos hace inmunes al malware. Todos descargamos software en línea, e incluso aquellos que se limitan a los paquetes de su proveedor de software, pueden verse afectados por errores o agujeros de seguridad que pueden permitir que personas desagradables o software entren en su interior. Como dice el viejo dicho, «una onza de prevención vale más que una libra de cura». Hoy nos gustaría mostrarte algunas formas en las que puedes escanear tu sistema para asegurarte de que no hay nada desagradable rootkits al acecho en las sombras.

El escaneo personal rápido y sucio

Una técnica común utilizada por algunos autores de malware es sustituir un binario normal del sistema por otro que realice acciones adicionales o alternativas. Muchos de ellos intentan protegerse haciendo que sus versiones corruptas sean inmutables en un intento de hacer que la infección sea más difícil de eliminar. Afortunadamente, esto deja huellas que pueden ser recogidas por las herramientas normales del sistema.

Utilice el comando lsattr para mostrar los atributos de los archivos binarios de su sistema en ubicaciones como /bin , /sbin , y /usr/bin , como se muestra aquí.

lsattr /usr/bin

La salida normal, no sospechosa, debería ser algo así.

Cómo buscar rootkits en Linux, BSD y OSX


Puede que necesite privilegios de root para escanear algunos lugares como /sbin . Si la salida contiene otros atributos como s , i , o a , que podrían ser una señal de que algo está mal, y puede que desee intentar un escaneo más profundo como se muestra a continuación.

Escáner #1 – Chkrootkit

Chkrootkit es una herramienta para analizar los archivos vitales de su sistema y determinar si alguno de ellos muestra signos de malware conocido. Es un grupo de scripts que utilizan herramientas y comandos de sistema existentes para validar los archivos de sistema y la información /proc . Debido a esto, se recomienda que se ejecute desde un CD en vivo, donde puede haber una mayor confianza de que las herramientas base no han sido ya comprometidas. Puede ejecutarlo desde la línea de comandos con sólo

# Puede que necesite «sudo» para privilegios de root
chkrootkit

Cómo buscar rootkits en Linux, BSD y OSX


pero como chkrootkit no crea un archivo de registro por defecto, recomiendo redirigir la salida a un archivo de registro, como con

chkrootkit> mylogfile.txt

y cuando termine, simplemente abra el archivo de registro en el editor de texto de su elección.

Escáner #2 – Cazador de rootkits (rkhunter)

Rootkit Hunter se parece mucho a chkrootkit , pero basa gran parte de su funcionalidad en comprobaciones hash. El software incluye buenos hashes SHA-1 conocidos de archivos de sistema comunes, y si encuentra que los suyos difieren, emitirá un error o advertencia según corresponda. Rootkit Hunter también podría llamarse más exhaustivo que chkrootkit , ya que incluye comprobaciones adicionales sobre el estado de la red, los módulos del núcleo y otras piezas que chkrootkit no analiza.

Para iniciar un análisis local normal, simplemente ejecute

# Puede que necesite «sudo» para privilegios de root
rkhunter -c>

Cómo buscar rootkits en Linux, BSD y OSX


Cuando se haya completado, se le mostrará un resumen con los resultados de su exploración.

Cómo buscar rootkits en Linux, BSD y OSX


Rootkit Hunter crea un archivo de registro de forma predeterminada y lo guarda en /var/log/rkhunter.log .

Conclusión

Tenga en cuenta que ambas aplicaciones, así como el método «manual», pueden producir falsos positivos. Si obtiene un resultado positivo, investigue a fondo antes de tomar cualquier medida. Con suerte, uno de estos métodos puede ayudarle a identificar una amenaza antes de que se convierta en un problema. Si tiene alguna otra sugerencia para detectar archivos o aplicaciones desagradables, por favor háganoslo saber en los comentarios que aparecen a continuación.

Fotografía: rykerstribe

Fuente: este post proviene de Vida Tecno, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado:
¿Qué te ha parecido esta idea?

Esta idea proviene de:

Y estas son sus últimas ideas publicadas:

Etiquetas: Linux

Recomendamos

Relacionado

Linux

Grep es un pequeño programa de Unix para encontrar patrones coincidentes. Iniciado como un programa Unix, se puede encontrar tanto en Linux como en Mac y BSD. Puede leer casi cualquier texto, lo que significa que puede leer las entradas de otros comandos, o puede abrir y revisar los archivos directamente. Grep es increíblemente útil, especialmente para mirar a través de directorios desde la línea ...

Sin duda, un sistema Linux recién instalado es menos susceptible al malware, spyware y hacking que un sistema Windows recién instalado. Sin embargo, la mayoría de los sistemas Linux están configurados con algunos ajustes predeterminados que son inherentemente inseguros. Algunas distribuciones de Linux están diseñadas para ser instaladas con valores predeterminados muy seguros, pero esto resulta en ...

Linux

Dentro de su sistema Linux o macOS, hay un archivo llamado «sudoers» que controla los niveles más profundos de su sistema de permisos. Permite o niega a los usuarios el acceso a los superusuarios y tiene algunas preferencias especiales para sudo. ¿Qué es el archivo Sudoers? El archivo sudoers es un archivo de texto que vive en «/etc/sudoers». Controla cómo funciona sudo en su m ...

Linux

Renombrar archivos no es una operación particularmente avanzada; siempre y cuando se haga en un pequeño número de archivos, por lo general no requiere herramientas especiales. Sin embargo, cuando hay toda una carpeta de fotos de las vacaciones del año pasado esperando ser renombradas, sería prudente considerar algunos trucos o aplicaciones para ahorrar tiempo. Hay dos enfoques generales para renom ...

Linux

Las funciones de búsqueda en los administradores de archivos de Linux no son tan buenas. La mayoría son pasables con una funcionalidad mínima y tiempos de búsqueda bastante lentos, pero realmente no hay ninguna excepcional. Incluso el Baloo de KDE, que pasa una tonelada de tiempo indexando archivos, realmente no funciona de la forma en que uno esperaría que lo hiciera una búsqueda moderna. Afortun ...

Linux

Si ha visto nuestro artículo en usando el archivo hosts en Windows y está usando Linux en lugar de Windows, puede que se pregunte cómo hacer exactamente lo mismo en Linux. Bueno, estás de suerte. Estos son los pasos exactos para usar el archivo de hosts en Linux. En Linux y otros sistemas basados en Unix, incluyendo los BSDs y Mac OS X, se encuentra en «/etc/hosts», y funciona casi exact ...

Linux

Si tiene el hábito de almacenar todos sus archivos temporales en su escritorio (o en cualquier otra carpeta) y se olvidó de eliminarlos más tarde, se dará cuenta de que su equipo se ensucia fácilmente con toneladas de archivos para los que no tiene uso. Una vez que eso sucede, la limpieza del equipo se convierte en una tarea tediosa y en una tarea problemática. Esta es una manera rápida y fácil de ...

Linux

Ubuntu no permite a sus usuarios iniciar sesión como root directamente. Para los usuarios que deseen ejecutar programas (o editar archivos) con privilegios de root, deben utilizar » sudo » para permitir el acceso a root. Aunque esta es una función muy útil para proteger su sistema, puede ser una tarea problemática y repetitiva. En lugar de pulsar el terminal e introducir el comando  ...

Linux

Probablemente haya oído hablar de AppArmor mientras instala Ubuntu, pero como no es una aplicación que aparece en el menú de aplicaciones y no aparece en ninguna forma gráfica, la mayoría de ustedes probablemente no tienen idea de lo que hace y por qué es esencial para su sistema. En resumen, AppArmor es un módulo de seguridad que limita los programas individuales a un conjunto de archivos y capac ...

Linux

No importa lo bien que cuides de tu ordenador, a veces se bloquea y a menudo tienes que desconectar el enchufe para reiniciar el ordenador. Cuando se producen tales caídas, existe la posibilidad de que su sistema de archivos se dañe o se dañe. Es aconsejable hacer una comprobación regular del sistema de ficheros para asegurarse de que está funcionando correctamente y libre de errores. En Linux (y ...