Es una herramienta que detecta los rootkits, los backdoors y los exploit locales mediante la comparación de los hashes MD5 de ficheros importantes con su firma correcta en una base de datos en línea, buscando los directorios por defecto, los permisos incorrectos, los archivos ocultos, las cadenas sospechosas en los módulos del kernel, y las pruebas especiales para Linux y FreeBSD.
Rootkits
Un rootkit permite acceso de privilegio continuo a un sistema y su presencia activamente oculta al control de los administradores al corromper su funcionamiento normal y el de otras aplicaciones. Comúnmente son asociados a malware.
Es una secuencia especial dentro del código de programación, mediante la cual se pueden evitar los sistemas de autentificación para acceder al sistema.
Es un fragmento de software, fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo. Acceso de forma no autorizada, toma de control de un sistema, consecución privilegios no concedidos lícitamente, consecución de ataques de denegación de servicio.
En criptografía, MD5 es un algoritmo de reducción criptográfico de 128 bits usado en este caso para comprobar que algún archivo no haya sido modificado.
Instalación
-Debian
-Archlinux
La configuración de rkhunter viene predeterminada para que las actualizaciones de la base de datos tengan una periodicidad semanal, la verificación de rootkits sea diaria y que los resultados sean enviados por e-mail al administrador del sistema (root), por lo que deberíamos agregar nuestro e-mail al archivo de configuración.
-Debian
En Debian, accedemos con el editor de texto por consola, en este caso"nano", pero como bien sabemos podemos usar el que mejor nos resulte alojado en la siguiente ruta:
En Archlinux, el archivo de configuración esta alojado en:
Una vez dentro del archivo de configuración buscamos la linea, MAIL -ON-WARNING, la descomentamos e introducimos la dirección a la que queremos que nos lleguen las notificaciones.
Guardamos y listo...
Actualizar
Y actualizamos rkhunter, con la siguiente linea de comandos y aplicando permisos de superusuario. Si a pesar de que actualiza semanalmente, siempre que hagamos un escaneo manual, es recomendable hacer una actualización previa.
Escaneo
El escaneo de nuestro sistema invocando a rkhuter, se lleva a cabo bajo la siguiente linea de comando:
Comenzara el proceso de escaneo mostrándonos las instancias del escaneo...
En distintas instancias del escaneo nos pedirá una confirmación para continuar, presionamos "ENTER" y proseguirá con la ejecución.
Resultado
Los resultado son muy intuitivos de visualizar, los agrupa en 3 categorías: Archivos sospechosos, posibles rootkits, y aplicaciones sospechosas.
También, nos crea un archivo con los resultados del análisis al que podemos acceder por cualquier consulta.
Espera sea de utilidad.
Saludos, Cristian.
Soy el primero como lo ejecuto? Que hago si descubre un backdoor tienes algún
ResponderBorrarManual para su uso o alguna alternativa gráfica saludos cordiales
muy bueno el post... pero siga publicando tutos asi, y entregando beneficios y detalles adicionales! con uso educativo obviamente.-
ResponderBorrarMuchas gracias..!! Te invito a seguirnos en Facebook para estar al corriente con los artículos. Saludos cordiales...!
BorrarTodo bin pero... ¿Qué se hace para eliminar lo que encuentra?
ResponderBorrar