Cómo buscar rootkits en Linux, BSD y OSX

Aquellos de nosotros en UNIX (y sí, la gente de Mac, que te incluye a ti) no tenemos que lidiar a menudo con el malware. Hay espacio para el debate sobre las razones exactas de esto, pero pocos argumentarían que Linux, BSD y OSX son golpeados tan fuerte o tan a menudo como Windows. Sin embargo, esto no nos hace inmunes al malware. Todos descargamos software en línea, e incluso aquellos que se limitan a los paquetes de su proveedor de software, pueden verse afectados por errores o agujeros de seguridad que pueden permitir que personas desagradables o software entren en su interior. Como dice el viejo dicho, «una onza de prevención vale más que una libra de cura». Hoy nos gustaría mostrarte algunas formas en las que puedes escanear tu sistema para asegurarte de que no hay nada desagradable rootkits al acecho en las sombras.

El escaneo personal rápido y sucio

Una técnica común utilizada por algunos autores de malware es sustituir un binario normal del sistema por otro que realice acciones adicionales o alternativas. Muchos de ellos intentan protegerse haciendo que sus versiones corruptas sean inmutables en un intento de hacer que la infección sea más difícil de eliminar. Afortunadamente, esto deja huellas que pueden ser recogidas por las herramientas normales del sistema.

Utilice el comando lsattr para mostrar los atributos de los archivos binarios de su sistema en ubicaciones como /bin , /sbin , y /usr/bin , como se muestra aquí.

lsattr /usr/bin

La salida normal, no sospechosa, debería ser algo así.

Cómo buscar rootkits en Linux, BSD y OSX


Puede que necesite privilegios de root para escanear algunos lugares como /sbin . Si la salida contiene otros atributos como s , i , o a , que podrían ser una señal de que algo está mal, y puede que desee intentar un escaneo más profundo como se muestra a continuación.

Escáner #1 – Chkrootkit

Chkrootkit es una herramienta para analizar los archivos vitales de su sistema y determinar si alguno de ellos muestra signos de malware conocido. Es un grupo de scripts que utilizan herramientas y comandos de sistema existentes para validar los archivos de sistema y la información /proc . Debido a esto, se recomienda que se ejecute desde un CD en vivo, donde puede haber una mayor confianza de que las herramientas base no han sido ya comprometidas. Puede ejecutarlo desde la línea de comandos con sólo

# Puede que necesite «sudo» para privilegios de root
chkrootkit

Cómo buscar rootkits en Linux, BSD y OSX


pero como chkrootkit no crea un archivo de registro por defecto, recomiendo redirigir la salida a un archivo de registro, como con

chkrootkit> mylogfile.txt

y cuando termine, simplemente abra el archivo de registro en el editor de texto de su elección.

Escáner #2 – Cazador de rootkits (rkhunter)

Rootkit Hunter se parece mucho a chkrootkit , pero basa gran parte de su funcionalidad en comprobaciones hash. El software incluye buenos hashes SHA-1 conocidos de archivos de sistema comunes, y si encuentra que los suyos difieren, emitirá un error o advertencia según corresponda. Rootkit Hunter también podría llamarse más exhaustivo que chkrootkit , ya que incluye comprobaciones adicionales sobre el estado de la red, los módulos del núcleo y otras piezas que chkrootkit no analiza.

Para iniciar un análisis local normal, simplemente ejecute

# Puede que necesite «sudo» para privilegios de root
rkhunter -c>

Cómo buscar rootkits en Linux, BSD y OSX


Cuando se haya completado, se le mostrará un resumen con los resultados de su exploración.

Cómo buscar rootkits en Linux, BSD y OSX


Rootkit Hunter crea un archivo de registro de forma predeterminada y lo guarda en /var/log/rkhunter.log .

Conclusión

Tenga en cuenta que ambas aplicaciones, así como el método «manual», pueden producir falsos positivos. Si obtiene un resultado positivo, investigue a fondo antes de tomar cualquier medida. Con suerte, uno de estos métodos puede ayudarle a identificar una amenaza antes de que se convierta en un problema. Si tiene alguna otra sugerencia para detectar archivos o aplicaciones desagradables, por favor háganoslo saber en los comentarios que aparecen a continuación.

Fotografía: rykerstribe

Fuente: este post proviene de Vida Tecno, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado:
¿Qué te ha parecido esta idea?

Esta idea proviene de:

Y estas son sus últimas ideas publicadas:

Etiquetas: Linux

Recomendamos

Relacionado

Linux

Grep es un pequeño programa de Unix para encontrar patrones coincidentes. Iniciado como un programa Unix, se puede encontrar tanto en Linux como en Mac y BSD. Puede leer casi cualquier texto, lo que significa que puede leer las entradas de otros comandos, o puede abrir y revisar los archivos directamente. Grep es increíblemente útil, especialmente para mirar a través de directorios desde la línea ...

Sin duda, un sistema Linux recién instalado es menos susceptible al malware, spyware y hacking que un sistema Windows recién instalado. Sin embargo, la mayoría de los sistemas Linux están configurados con algunos ajustes predeterminados que son inherentemente inseguros. Algunas distribuciones de Linux están diseñadas para ser instaladas con valores predeterminados muy seguros, pero esto resulta en ...

Linux

Dentro de su sistema Linux o macOS, hay un archivo llamado «sudoers» que controla los niveles más profundos de su sistema de permisos. Permite o niega a los usuarios el acceso a los superusuarios y tiene algunas preferencias especiales para sudo. ¿Qué es el archivo Sudoers? El archivo sudoers es un archivo de texto que vive en «/etc/sudoers». Controla cómo funciona sudo en su m ...

Linux

AWStats es una herramienta de generación de informes de analítica web de código abierto que genera gráficamente estadísticas avanzadas de web, streaming, FTP o servidor de correo. Este analizador de registros funciona como un CGI o desde la línea de comandos y le muestra toda la información posible que su registro contiene en unas cuantas páginas web gráficas. Utiliza un archivo de información par ...

Linux

Probablemente haya oído hablar de AppArmor mientras instala Ubuntu, pero como no es una aplicación que aparece en el menú de aplicaciones y no aparece en ninguna forma gráfica, la mayoría de ustedes probablemente no tienen idea de lo que hace y por qué es esencial para su sistema. En resumen, AppArmor es un módulo de seguridad que limita los programas individuales a un conjunto de archivos y capac ...

Linux

Una de las responsabilidades centrales de la administración de Linux es la gestión de usuarios. Mediante el uso de la línea de comandos, la creación de usuarios puede realizarse de forma remota o programática. Una vez que haya creado un usuario, podrá agregarlo a los grupos o concederle privilegios ampliados. Además, usted puede mantener un registro de auditoría de lo que se ha hecho en su servido ...

Windows

El error de la pantalla azul de la muerte (BSOD) es uno de los fallos más molestos del sistema exclusivo de los ordenadores con Windows. El fallo crítico ha existido desde la era de Windows 1.0 y sigue sin ser resuelto por Microsoft. Las caídas de BSOD pueden ocurrir debido a muchas razones: registro dañado, archivos de instalación dañados o controladores y hardware fuera de sincronización. Durant ...

Linux

Cuando se configura una nueva instalación de Linux con una unidad SSD, muchos no saben con qué sistema de archivos se debe trabajar. Esto es comprensible, ya que no se habla lo suficiente de los sistemas de ficheros. Cuando la gente instala Linux, a menudo selecciona las opciones predeterminadas sin pensar en ello. Esa no es la manera correcta de hacer estas cosas. En este artículo repasaremos los ...

Linux

Renombrar archivos no es una operación particularmente avanzada; siempre y cuando se haga en un pequeño número de archivos, por lo general no requiere herramientas especiales. Sin embargo, cuando hay toda una carpeta de fotos de las vacaciones del año pasado esperando ser renombradas, sería prudente considerar algunos trucos o aplicaciones para ahorrar tiempo. Hay dos enfoques generales para renom ...

Linux

Las funciones de búsqueda en los administradores de archivos de Linux no son tan buenas. La mayoría son pasables con una funcionalidad mínima y tiempos de búsqueda bastante lentos, pero realmente no hay ninguna excepcional. Incluso el Baloo de KDE, que pasa una tonelada de tiempo indexando archivos, realmente no funciona de la forma en que uno esperaría que lo hiciera una búsqueda moderna. Afortun ...