Un rootkit es una herramienta software maliciosa

Como todos sabemos, los sistemas GNU/Linux (como Ubuntu) no tienen prácticamente virus, ya que, aunque circula alguno por ahí, en principio no entraña ningún riesgo si no se ejecuta en nuestra máquina con permisos de superusuario. Pero de todas formas, si eres uno de esos usuarios preocupado por la posibilidad de estar infectado por un rootkit, en Ubuntu disponemos de dos sencillos programas muy fáciles de utilizar: Chkrootkit y Rootkit Hunter.

Existen rootkits de diferentes clases y para diferentes sistemas operativos (Windows, Solaris, GNU/Linux). Pueden funcionar a nivel de aplicación (reemplazando ejecutables, modificando aplicaciones, etc.) o a nivel de kernel (modificando código de forma intrínseca agregándose a través de drivers, módulos, etc.). Estos últimos son los más difíciles de detectar.

Chkrootkit

Es un programa que se maneja mediante consola. Permite localizar rootkits conocidos, realizando múltiples pruebas en las que busca entre los binarios modificados por dicho software, archivos PHP sospechosos, etc. Es una herramienta muy simple pero eficaz en cuanto a detección.

Para instalarlo podemos acudir a Sistema > Administración > Gestor de paquetes Sypnaptic o teclear en consola la orden:

sudo apt-get install chkrootkit

Para ejecutar Chkrootkit teclearemos en un terminal:

sudo chkrootkit

Si queremos ejecutarlo en modo experto:

sudo chkrootkit -x

Chkrootkit nos presentará un completo informe con el resultado del análisis y probablemente hará alguna sugerencia. Debemos confirmar que los resultados obtenidos son del tipo “not infected” o “nothing found”.

Rootkit Hunter

Funciona de forma similar a Chkrootkit. Permite escanear archivos de texto, archivos ocultos y nos da los resultados en base a una lista bastante larga de rootkits, backdoors y exploit locales conocidos.

Para instalarlo podemos acudir a Sistema > Administración > Gestor de paquetes Sypnaptic o teclear en consola la orden:

sudo apt-get install rkhunter

Para actualizar la base de datos de  Rootkit Hunter a la última versión introducimos la orden:

sudo rkhunter --update

Rootkit Hunter actualizará los ficheros necesarios. Después de actualizarlos podemos empezar con el escaneo tecleando la orden:

sudo rkhunter --checkall

Rootkit Hunter nos irá mostrando el resultado por pantalla (el test puede tardar unos minutos, dependiendo de tu CPU). Al finalizar el análisis nos mostrará un resumen por pantalla que puede consultarse con más detalle en /var/log/rkhunter.log.

Como último apunte os comentaré que ningún sistema operativo en ejecución es confiable al 100% para realizar una detección y lo realmente conveniente es ejecutar este tipo de programas mediante un CD-live o un pendrive, ya que cuando el sistema operativo está detenido el rootkit es más fácil de detectar.