Un rootkit es una herramienta software maliciosa que tiene como finalidad esconderse a sí misma, esconder otros programas, procesos, directorios, archivos, llaves de registro o puertos, que permiten a un usuario no autorizados obtener información sensible o controlar remotamente nuestra computadora.
Como todos sabemos, los sistemas GNU/Linux (como Ubuntu) no tienen prácticamente virus, ya que, aunque circula alguno por ahí, en principio no entraña ningún riesgo si no se ejecuta en nuestra máquina con permisos de superusuario. Pero de todas formas, si eres uno de esos usuarios preocupado por la posibilidad de estar infectado por un rootkit, en Ubuntu disponemos de dos sencillos programas muy fáciles de utilizar: Chkrootkit y Rootkit Hunter.
Existen rootkits de diferentes clases y para diferentes sistemas operativos (Windows, Solaris, GNU/Linux). Pueden funcionar a nivel de aplicación (reemplazando ejecutables, modificando aplicaciones, etc.) o a nivel de kernel (modificando código de forma intrínseca agregándose a través de drivers, módulos, etc.). Estos últimos son los más difíciles de detectar.
Chkrootkit
Es un programa que se maneja mediante consola. Permite localizar rootkits conocidos, realizando múltiples pruebas en las que busca entre los binarios modificados por dicho software, archivos PHP sospechosos, etc. Es una herramienta muy simple pero eficaz en cuanto a detección.
Para instalarlo podemos acudir a Sistema > Administración > Gestor de paquetes Sypnaptic o teclear en consola la orden:
sudo apt-get install chkrootkit
Para ejecutar Chkrootkit teclearemos en un terminal:
sudo chkrootkit
Si queremos ejecutarlo en modo experto:
sudo chkrootkit -x
Chkrootkit nos presentará un completo informe con el resultado del análisis y probablemente hará alguna sugerencia. Debemos confirmar que los resultados obtenidos son del tipo “not infected” o “nothing found”.
Rootkit Hunter
Funciona de forma similar a Chkrootkit. Permite escanear archivos de texto, archivos ocultos y nos da los resultados en base a una lista bastante larga de rootkits, backdoors y exploit locales conocidos.
Para instalarlo podemos acudir a Sistema > Administración > Gestor de paquetes Sypnaptic o teclear en consola la orden:
sudo apt-get install rkhunter
Para actualizar la base de datos de Rootkit Hunter a la última versión introducimos la orden:
sudo rkhunter --update
Rootkit Hunter actualizará los ficheros necesarios. Después de actualizarlos podemos empezar con el escaneo tecleando la orden:
sudo rkhunter --checkall
Rootkit Hunter nos irá mostrando el resultado por pantalla (el test puede tardar unos minutos, dependiendo de tu CPU). Al finalizar el análisis nos mostrará un resumen por pantalla que puede consultarse con más detalle en /var/log/rkhunter.log.
Como último apunte os comentaré que ningún sistema operativo en ejecución es confiable al 100% para realizar una detección y lo realmente conveniente es ejecutar este tipo de programas mediante un CD-live o un pendrive, ya que cuando el sistema operativo está detenido el rootkit es más fácil de detectar.
Loading ...
Trackback: Bitacoras.com
#1 by ubuntizando el planeta on 08/11/2009 - 04:16
Citar
Ey… muy bueno el articulo, me ha gustado mucho. Me parece de gran utilidad. Mucha gente cree que no hay virus en Ubuntu y se olvidan de la seguridad. Los rootkit son una realidad. Gracias.
Lo he puesto en mi recopilacion de enlaces semanal.
Un saludo
#2 by daniel on 04/01/2010 - 22:50
Citar
Hola experto
Importante el artículo, activaré en mi pc la herramienta antivirus.
Gracias por tu tiempo y colaboración, que tengas un buen día