comunidades

Cómo buscar rootkits en Linux, BSD y OSX

Aquellos de nosotros en UNIX (y sí, la gente de Mac, que te incluye a ti) no tenemos que lidiar a menudo con el malware. Hay espacio para el debate sobre las razones exactas de esto, pero pocos argumentarían que Linux, BSD y OSX son golpeados tan fuerte o tan a menudo como Windows. Sin embargo, esto no nos hace inmunes al malware. Todos descargamos software en línea, e incluso aquellos que se limitan a los paquetes de su proveedor de software, pueden verse afectados por errores o agujeros de seguridad que pueden permitir que personas desagradables o software entren en su interior. Como dice el viejo dicho, «una onza de prevención vale más que una libra de cura». Hoy nos gustaría mostrarte algunas formas en las que puedes escanear tu sistema para asegurarte de que no hay nada desagradable rootkits al acecho en las sombras.

El escaneo personal rápido y sucio

Una técnica común utilizada por algunos autores de malware es sustituir un binario normal del sistema por otro que realice acciones adicionales o alternativas. Muchos de ellos intentan protegerse haciendo que sus versiones corruptas sean inmutables en un intento de hacer que la infección sea más difícil de eliminar. Afortunadamente, esto deja huellas que pueden ser recogidas por las herramientas normales del sistema.

Utilice el comando lsattr para mostrar los atributos de los archivos binarios de su sistema en ubicaciones como /bin , /sbin , y /usr/bin , como se muestra aquí.

lsattr /usr/bin

La salida normal, no sospechosa, debería ser algo así.

Cómo buscar rootkits en Linux, BSD y OSX


Puede que necesite privilegios de root para escanear algunos lugares como /sbin . Si la salida contiene otros atributos como s , i , o a , que podrían ser una señal de que algo está mal, y puede que desee intentar un escaneo más profundo como se muestra a continuación.

Escáner #1 – Chkrootkit

Chkrootkit es una herramienta para analizar los archivos vitales de su sistema y determinar si alguno de ellos muestra signos de malware conocido. Es un grupo de scripts que utilizan herramientas y comandos de sistema existentes para validar los archivos de sistema y la información /proc . Debido a esto, se recomienda que se ejecute desde un CD en vivo, donde puede haber una mayor confianza de que las herramientas base no han sido ya comprometidas. Puede ejecutarlo desde la línea de comandos con sólo

# Puede que necesite «sudo» para privilegios de root
chkrootkit

Cómo buscar rootkits en Linux, BSD y OSX


pero como chkrootkit no crea un archivo de registro por defecto, recomiendo redirigir la salida a un archivo de registro, como con

chkrootkit> mylogfile.txt

y cuando termine, simplemente abra el archivo de registro en el editor de texto de su elección.

Escáner #2 – Cazador de rootkits (rkhunter)

Rootkit Hunter se parece mucho a chkrootkit , pero basa gran parte de su funcionalidad en comprobaciones hash. El software incluye buenos hashes SHA-1 conocidos de archivos de sistema comunes, y si encuentra que los suyos difieren, emitirá un error o advertencia según corresponda. Rootkit Hunter también podría llamarse más exhaustivo que chkrootkit , ya que incluye comprobaciones adicionales sobre el estado de la red, los módulos del núcleo y otras piezas que chkrootkit no analiza.

Para iniciar un análisis local normal, simplemente ejecute

# Puede que necesite «sudo» para privilegios de root
rkhunter -c>

Cómo buscar rootkits en Linux, BSD y OSX


Cuando se haya completado, se le mostrará un resumen con los resultados de su exploración.

Cómo buscar rootkits en Linux, BSD y OSX


Rootkit Hunter crea un archivo de registro de forma predeterminada y lo guarda en /var/log/rkhunter.log .

Conclusión

Tenga en cuenta que ambas aplicaciones, así como el método «manual», pueden producir falsos positivos. Si obtiene un resultado positivo, investigue a fondo antes de tomar cualquier medida. Con suerte, uno de estos métodos puede ayudarle a identificar una amenaza antes de que se convierta en un problema. Si tiene alguna otra sugerencia para detectar archivos o aplicaciones desagradables, por favor háganoslo saber en los comentarios que aparecen a continuación.

Fotografía: rykerstribe

Fuente: este post proviene de Vida Tecno, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
¿Qué te ha parecido esta idea?

Esta idea proviene de:

Y estas son sus últimas ideas publicadas:

Etiquetas: Linux

Recomendamos

Relacionado

Cómo proteger su Ubuntu recién instalado

Sin duda, un sistema Linux recién instalado es menos susceptible al malware, spyware y hacking que un sistema Windows recién instalado. Sin embargo, la mayoría de los sistemas Linux están configurados con algunos ajustes predeterminados que son inherentemente inseguros. Algunas distribuciones de Linux están diseñadas para ser instaladas con valores predeterminados muy seguros, pero esto resulta en ...

Linux

La guía para principiantes del comando dpkg en el Distro de Linux basado en Debian

Cada distribución de Linux viene con un gestor de paquetes específico. Para Debian o una distribución basada en Debian, el gestor de paquetes por defecto es «apt» o «apt-get» o el gráfico Software Center/Synaptic. Estos gestores de paquetes, a su vez, confían en la herramienta de bajo nivel dpkg para gestionar los paquetes de software. En este artículo le mostramos los concepto ...

Linux

Cómo configurar AWStats en el servidor Ubuntu

AWStats es una herramienta de generación de informes de analítica web de código abierto que genera gráficamente estadísticas avanzadas de web, streaming, FTP o servidor de correo. Este analizador de registros funciona como un CGI o desde la línea de comandos y le muestra toda la información posible que su registro contiene en unas cuantas páginas web gráficas. Utiliza un archivo de información par ...

Linux

Conceptos básicos de RPM – Red Hat Package Management[Linux 101]

En previous articles , hemos explorado el sistema utilizado para instalar software en sistemas basados en Debian, incluyendo Ubuntu entre otros. RPM , o el «Red Hat Package Manager», debutó en Red Hat Linux 2.0 en 1995, y ahora es el sistema preferido de gestión de paquetes de distribuciones basadas en Red Hat, incluyendo CentOS y la distribución Linux de Oracle, así como SuSE. Ahora ver ...

Linux

Cómo instalar Linux Deepin Desktop en Ubuntu

Linux Deepin es un hermoso Linux Distro basado en Ubuntu. Aunque hemos revisado Linux Deepin 11.12 y tiene muchos elogios por ello, la última versión 12.12 es aún mejor, más elegante y funciona mejor. Si no tiene intención de formatear su PC e instalar Linux Deepin desde cero, aquí está cómo puede instalar Linux Deepin Desktop en Ubuntu y acceder a él desde la pantalla de inicio de sesión. En su U ...

Linux

Por qué y cómo editar su archivo Sudoers en Linux

Dentro de su sistema Linux o macOS, hay un archivo llamado «sudoers» que controla los niveles más profundos de su sistema de permisos. Permite o niega a los usuarios el acceso a los superusuarios y tiene algunas preferencias especiales para sudo. ¿Qué es el archivo Sudoers? El archivo sudoers es un archivo de texto que vive en «/etc/sudoers». Controla cómo funciona sudo en su m ...

Linux

Cómo usar el archivo Hosts en Linux

Si ha visto nuestro artículo en usando el archivo hosts en Windows y está usando Linux en lugar de Windows, puede que se pregunte cómo hacer exactamente lo mismo en Linux. Bueno, estás de suerte. Estos son los pasos exactos para usar el archivo de hosts en Linux. En Linux y otros sistemas basados en Unix, incluyendo los BSDs y Mac OS X, se encuentra en «/etc/hosts», y funciona casi exact ...

Linux

Cómo montar un archivo ISO en Linux

Los archivos ISO están en todas partes. Son increíblemente útiles para una serie de cosas, pero lo más común es que las encuentre como imágenes de instalación de software. Las ISO también se utilizan comúnmente para hacer copias de seguridad y almacenar datos. Linux tiene un par de buenas maneras de administrar archivos ISO. Puede manejar las cosas desde su escritorio gráfico, o puede trabajar exc ...

Linux

Aprenda con Linux: Tarjetas de memoria

Este artículo forma parte de la serie Aprender con Linux : Aprender con Linux: Aprender a escribir a máquina Aprender con Linux: Física Simulación Aprender con Linux: Aprender música Aprende con Linux: Dos aplicaciones de geografía Aprende con Linux: Domine sus matemáticas con estas aplicaciones de Linux Aprenda con Linux: Tarjetas de memoria Linux ofrece un gran software educativo y muchas ...

Linux

Cómo usar FSearch para buscar archivos rápidamente en Linux

Las funciones de búsqueda en los administradores de archivos de Linux no son tan buenas. La mayoría son pasables con una funcionalidad mínima y tiempos de búsqueda bastante lentos, pero realmente no hay ninguna excepcional. Incluso el Baloo de KDE, que pasa una tonelada de tiempo indexando archivos, realmente no funciona de la forma en que uno esperaría que lo hiciera una búsqueda moderna. Afortun ...