02 septiembre 2010

Detectar rootkits en Linux / Unix

Una tarea que se debería realizar periódicamente es verificar si nuestro sistema tiene algún rootkit para nuestra tranquilidad. Por mucha atención que prestemos a la seguridad no hay ningún sistema cien por cien seguro. Lo interesante sería crear una tarea programada con cron y mandar los resultados a un log para revisarlo más tarde.

Existen varias herramientas para comprobar si tenemos algún rootkit en nuestro sistema. Voy a comentar tres de ellas:

Unhide
No es un detector de rootkits en si, sino que busca procesos y puertos ocultos que suele detonar la presencia de uno de estos.

sudo aptitude install unhide

Para realizar los distintos escaneos podemos usar

sudo unhide-linux26 proc
sudo unhide-linux26 sys
sudo unhide-linux26 brute
sudo unhide-tcp


Rootkit Hunter
Escanea el sistema en busca de rootkits, backdoors y exploits locales

sudo aptitude install rkhunter

Para actualizar las definiciones

sudo rkhunter --update

si queremos realizar un chequeo completo

sudo rkhunter -c

y para evitarnos preguntas
sudo rkhunter -c --sk


Chkrootkit
Programa que escanea el sistema en busca de rootkit

sudo aptitude install chkrootkit

Para ejecutarlo simplemente

sudo chkrootkit
Publicado por Nebur - 2.9.10
Etiquetas: , , , ,

Feed RSSSuscribirse por lector de RSS Correo electrónicoSuscribirse por correo electrónico

ARTÍCULOS RELACIONADOS

1 comentario:

Unknown dijo...

ojo Unhide contiene graves fallos de seguridad http://unhiderootkit.blogspot.com.es/
http://unhiderootkit.wordpress.com

11 de agosto de 2012, 3:30

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)