comunidades

Cómo buscar rootkits en Linux, BSD y OSX

Aquellos de nosotros en UNIX (y sí, la gente de Mac, que te incluye a ti) no tenemos que lidiar a menudo con el malware. Hay espacio para el debate sobre las razones exactas de esto, pero pocos argumentarían que Linux, BSD y OSX son golpeados tan fuerte o tan a menudo como Windows. Sin embargo, esto no nos hace inmunes al malware. Todos descargamos software en línea, e incluso aquellos que se limitan a los paquetes de su proveedor de software, pueden verse afectados por errores o agujeros de seguridad que pueden permitir que personas desagradables o software entren en su interior. Como dice el viejo dicho, «una onza de prevención vale más que una libra de cura». Hoy nos gustaría mostrarte algunas formas en las que puedes escanear tu sistema para asegurarte de que no hay nada desagradable rootkits al acecho en las sombras.

El escaneo personal rápido y sucio

Una técnica común utilizada por algunos autores de malware es sustituir un binario normal del sistema por otro que realice acciones adicionales o alternativas. Muchos de ellos intentan protegerse haciendo que sus versiones corruptas sean inmutables en un intento de hacer que la infección sea más difícil de eliminar. Afortunadamente, esto deja huellas que pueden ser recogidas por las herramientas normales del sistema.

Utilice el comando lsattr para mostrar los atributos de los archivos binarios de su sistema en ubicaciones como /bin , /sbin , y /usr/bin , como se muestra aquí.

lsattr /usr/bin

La salida normal, no sospechosa, debería ser algo así.

Cómo buscar rootkits en Linux, BSD y OSX


Puede que necesite privilegios de root para escanear algunos lugares como /sbin . Si la salida contiene otros atributos como s , i , o a , que podrían ser una señal de que algo está mal, y puede que desee intentar un escaneo más profundo como se muestra a continuación.

Escáner #1 – Chkrootkit

Chkrootkit es una herramienta para analizar los archivos vitales de su sistema y determinar si alguno de ellos muestra signos de malware conocido. Es un grupo de scripts que utilizan herramientas y comandos de sistema existentes para validar los archivos de sistema y la información /proc . Debido a esto, se recomienda que se ejecute desde un CD en vivo, donde puede haber una mayor confianza de que las herramientas base no han sido ya comprometidas. Puede ejecutarlo desde la línea de comandos con sólo

# Puede que necesite «sudo» para privilegios de root
chkrootkit

Cómo buscar rootkits en Linux, BSD y OSX


pero como chkrootkit no crea un archivo de registro por defecto, recomiendo redirigir la salida a un archivo de registro, como con

chkrootkit> mylogfile.txt

y cuando termine, simplemente abra el archivo de registro en el editor de texto de su elección.

Escáner #2 – Cazador de rootkits (rkhunter)

Rootkit Hunter se parece mucho a chkrootkit , pero basa gran parte de su funcionalidad en comprobaciones hash. El software incluye buenos hashes SHA-1 conocidos de archivos de sistema comunes, y si encuentra que los suyos difieren, emitirá un error o advertencia según corresponda. Rootkit Hunter también podría llamarse más exhaustivo que chkrootkit , ya que incluye comprobaciones adicionales sobre el estado de la red, los módulos del núcleo y otras piezas que chkrootkit no analiza.

Para iniciar un análisis local normal, simplemente ejecute

# Puede que necesite «sudo» para privilegios de root
rkhunter -c>

Cómo buscar rootkits en Linux, BSD y OSX


Cuando se haya completado, se le mostrará un resumen con los resultados de su exploración.

Cómo buscar rootkits en Linux, BSD y OSX


Rootkit Hunter crea un archivo de registro de forma predeterminada y lo guarda en /var/log/rkhunter.log .

Conclusión

Tenga en cuenta que ambas aplicaciones, así como el método «manual», pueden producir falsos positivos. Si obtiene un resultado positivo, investigue a fondo antes de tomar cualquier medida. Con suerte, uno de estos métodos puede ayudarle a identificar una amenaza antes de que se convierta en un problema. Si tiene alguna otra sugerencia para detectar archivos o aplicaciones desagradables, por favor háganoslo saber en los comentarios que aparecen a continuación.

Fotografía: rykerstribe

Fuente: este post proviene de Vida Tecno, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado:
¿Qué te ha parecido esta idea?

Esta idea proviene de:

Y estas son sus últimas ideas publicadas:

Etiquetas: Linux

Recomendamos

Relacionado

Linux

Dentro de su sistema Linux o macOS, hay un archivo llamado «sudoers» que controla los niveles más profundos de su sistema de permisos. Permite o niega a los usuarios el acceso a los superusuarios y tiene algunas preferencias especiales para sudo. ¿Qué es el archivo Sudoers? El archivo sudoers es un archivo de texto que vive en «/etc/sudoers». Controla cómo funciona sudo en su m ...

Sin duda, un sistema Linux recién instalado es menos susceptible al malware, spyware y hacking que un sistema Windows recién instalado. Sin embargo, la mayoría de los sistemas Linux están configurados con algunos ajustes predeterminados que son inherentemente inseguros. Algunas distribuciones de Linux están diseñadas para ser instaladas con valores predeterminados muy seguros, pero esto resulta en ...

Linux

Ubuntu no permite a sus usuarios iniciar sesión como root directamente. Para los usuarios que deseen ejecutar programas (o editar archivos) con privilegios de root, deben utilizar » sudo » para permitir el acceso a root. Aunque esta es una función muy útil para proteger su sistema, puede ser una tarea problemática y repetitiva. En lugar de pulsar el terminal e introducir el comando  ...

Linux

Cuando se configura una nueva instalación de Linux con una unidad SSD, muchos no saben con qué sistema de archivos se debe trabajar. Esto es comprensible, ya que no se habla lo suficiente de los sistemas de ficheros. Cuando la gente instala Linux, a menudo selecciona las opciones predeterminadas sin pensar en ello. Esa no es la manera correcta de hacer estas cosas. En este artículo repasaremos los ...

Linux

Las funciones de búsqueda en los administradores de archivos de Linux no son tan buenas. La mayoría son pasables con una funcionalidad mínima y tiempos de búsqueda bastante lentos, pero realmente no hay ninguna excepcional. Incluso el Baloo de KDE, que pasa una tonelada de tiempo indexando archivos, realmente no funciona de la forma en que uno esperaría que lo hiciera una búsqueda moderna. Afortun ...

Linux

No importa lo bien que cuides de tu ordenador, a veces se bloquea y a menudo tienes que desconectar el enchufe para reiniciar el ordenador. Cuando se producen tales caídas, existe la posibilidad de que su sistema de archivos se dañe o se dañe. Es aconsejable hacer una comprobación regular del sistema de ficheros para asegurarse de que está funcionando correctamente y libre de errores. En Linux (y ...

Linux

Si ha visto nuestro artículo en usando el archivo hosts en Windows y está usando Linux en lugar de Windows, puede que se pregunte cómo hacer exactamente lo mismo en Linux. Bueno, estás de suerte. Estos son los pasos exactos para usar el archivo de hosts en Linux. En Linux y otros sistemas basados en Unix, incluyendo los BSDs y Mac OS X, se encuentra en «/etc/hosts», y funciona casi exact ...

Linux

Una de las responsabilidades centrales de la administración de Linux es la gestión de usuarios. Mediante el uso de la línea de comandos, la creación de usuarios puede realizarse de forma remota o programática. Una vez que haya creado un usuario, podrá agregarlo a los grupos o concederle privilegios ampliados. Además, usted puede mantener un registro de auditoría de lo que se ha hecho en su servido ...

Linux

¿Qué configuración de particiones debería utilizar al iniciar Windows y Linux por partida doble? Si tiene una partición separada para /home ? ¿Por qué algunas personas ponen /boot en su propia partición? Estas son las preguntas que han plagado a la humanidad desde los albores de los tiempos (o por ahí). Esta guía pretende responder a algunas de estas preguntas y demostrar algunos esquemas de parti ...

Linux

¿Alguna vez has querido ejecutar un script al iniciar con privilegios de root? Si usted tiene un servidor en casa, o tal vez sólo un escritorio Linux, esto podría haber pasado por su mente. Esto suena dudoso, pero si usted entiende los riesgos, la recompensa por hacer esto puede ser bastante buena. Las razones principales son que no habrá más arranques del servidor, inicio de sesión sobre ssh, int ...