Rkhunter (RootKit Hunter)

Rkhunter (o Rootkit Hunter)

Es una herramienta que detecta los rootkits, los backdoors y los exploit locales mediante la comparación de los hashes MD5 de ficheros importantes con su firma correcta en una base de datos en línea, buscando los directorios por defecto, los permisos incorrectos, los archivos ocultos, las cadenas sospechosas en los módulos del kernel, y las pruebas especiales para Linux y FreeBSD.

Rootkits

Un rootkit permite acceso de privilegio continuo a un sistema y su presencia activamente oculta al control de los administradores al corromper su funcionamiento normal y el de otras aplicaciones. Comúnmente son asociados a malware.

BackDoor (o puerta trasera)

Es una secuencia especial dentro del código de programación, mediante la cual se pueden evitar los sistemas de autentificación para acceder al sistema.

Exploit

Es un fragmento de software, fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo. Acceso de forma no autorizada, toma de control de un sistema, consecución privilegios no concedidos lícitamente, consecución de ataques de denegación de servicio.

MD5

En criptografía, MD5 es un algoritmo de reducción criptográfico de 128 bits usado en este caso para comprobar que algún archivo no haya sido modificado.

Instalación

-Debian

-Archlinux

Configuración

La configuración de rkhunter viene predeterminada para que las actualizaciones de la base de datos tengan una periodicidad semanal, la verificación de rootkits sea diaria y que los resultados sean enviados por e-mail al administrador del sistema (root), por lo que deberíamos agregar nuestro e-mail al archivo de configuración.

-Debian

En Debian, accedemos con el editor de texto por consola, en este caso"nano", pero como bien sabemos podemos usar el que mejor nos resulte alojado en la siguiente ruta:

 -Archlinux

En Archlinux, el archivo de configuración esta alojado en:

E-mail

Una vez dentro del archivo de configuración buscamos la linea, MAIL -ON-WARNING, la descomentamos e introducimos la dirección a la que queremos que nos lleguen las notificaciones.

Guardamos y listo...

Actualizar

Para esto, debe actualizarse la base de datos de propiedades de los archivos de rkhunte.

Y actualizamos rkhunter, con la siguiente linea de comandos y aplicando permisos de superusuario. Si a pesar de que actualiza semanalmente, siempre que hagamos un escaneo manual, es recomendable hacer una actualización previa.

Escaneo

El escaneo de nuestro sistema invocando a rkhuter, se lleva a cabo bajo la siguiente linea de comando:

Comenzara el proceso de escaneo mostrándonos las instancias del escaneo...

En distintas instancias del escaneo nos pedirá una confirmación para continuar, presionamos "ENTER" y proseguirá con la ejecución.

Resultado

Los resultado son muy intuitivos de visualizar, los agrupa en 3 categorías: Archivos sospechosos, posibles rootkits, y aplicaciones sospechosas.

También, nos crea un archivo con los resultados del análisis al que podemos acceder por cualquier consulta. 

Espera sea de utilidad.

Saludos, Cristian.