En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Detectar Rootkits en sistemas Linux/UNIX.

Ya he definido un rootkit en anteriores post, en este post voy a escribir sobre una herramienta para detectar rootkits en sistemas Linux/UNIX. Se trata de Rootkit Hunter una herramienta que detecta rootkits y exploits locales en el sistema, escaneando ficheros y directorios en busca de ficheros usados por rootkits y realizando comparaciones con testeo MD5.

Entre sus características destaca:



  • Detecta los rootkits: IntoXonia, NG rootkit , rootkit Phalanx2…

  • Soporte para archivos TCB shadow.

  • Chequea las características de los inodos de los archivos.

  • Testea configuración de SSH.

Rootkit Hunter ha sido testeado en los siguientes sistemas: AIX 4.1.5 / 4.3.3, ALT Linux, Aurora Linux, CentOS 3.1 / 4.0, Conectiva Linux 6.0, Debian 3.x, FreeBSD 4.3 / 4.4 / 4.7 / 4.8 / 4.9 / 4.10, FreeBSD 5.0 / 5.1 / 5.2 / 5.2.1 / 5.3, Fedora Core 1 / Core 2 / Core 3, Gentoo 1.4/2004.0/2004.1, Macintosh OS 10.3.4-10.3.8, Mandrake 8.1 / 8.2 / 9.0-9.2 / 10.0 / 10.1, OpenBSD 3.4 / 3.5, Red Hat Linux 7.0-7.3 / 8 / 9, Red Hat Enterprise Linux 2.1 / 3.0, Slackware 9.0 / 9.1 / 10.0 / 10.1, SME 6.0, Solaris (SunOS), SuSE 7.3 / 8.0-8.2 / 9.0-9.2, Ubuntu y Yellow Dog Linux 3.0 / 3.01.

Más información y descarga de Rootkit Hunter:
http://sourceforge.net/projects/rkhunter/


Como detectar rootkit:
http://vtroger.blogspot.com/2008/01/como-detectar-rootkit.html

Rootkit y herramientas desinfección:
http://vtroger.blogspot.com/2006/09/rootkit-y-herramientas-desinfeccin.html

Los rootkit la futura amenaza:
http://vtroger.blogspot.com/2006/03/los-rootkit-la-futura-amenaza.html

Rootkits:
http://vtroger.blogspot.com/2005/11/rootkits.html
Detectar Rootkits en sistemas Linux/UNIX. Detectar Rootkits en sistemas Linux/UNIX. Reviewed by Álvaro Paz on miércoles, enero 07, 2009 Rating: 5

9 comentarios:

tonio dijo...

Fantástica entrada!!!! aunque yo he instalado esto
sudo apt-get -y install chkrootkit

y lo ejecuto así
sudo chkrootkit

que opinas!

Alvaro Paz dijo...

Hola Tonio

Has instalado el chkrootkit es otro detector de rootkit. Que esta bastane bien. Aqui tienes mas información de su modo de uso:
http://www.chkrootkit.org/README

Un saludo

tonio dijo...

Esto de los rootkits me preocupa bastante, al igual que no a mucho tardar tendremos que empezar a preocuparnos de instalar antivirus.

De todos los que has probado, cual recomiendas???

Alvaro Paz dijo...

Hola

Pues la verdad yo he probado tres: Tripwire, Chkrootkit y Rootkit Hunter. Son los tres bastante efectivos pero Rootkit Hunter es más completo y transparente para el usuario, además de que ha salido una versión reciente. Pero en estos casos yo siempre recomiendo usar dos, una segunda opinión siempre viene bien. Y puestos a elegir dos yo erigiría Chkrootkit y Rootkit Hunter ya que Tripwire lleva más de un año sin actualizarse.

Un saludo

tonio dijo...

ok, pues vou a instalar Rootkit Hunter.

tonio dijo...

oyes que me da dos ficheros sospechosos e intentado desistalarlos/eliminarlos pero no me va esto bien
Como puedo hacer.
Por cierto hai algun foro sobre esto y así no te doy tanto la bara.

Alvaro Paz dijo...

Hola Tonio
El proyecto tiene una lista de correo donde se pueden consultar dudas sobre los resultados y errores del programa (en Ingles):
https://lists.sourceforge.net/lists/listinfo/rkhunter-users
Puedes enviarme el resultado a mi correo electrónico que figura en el blog y cuando tenga un ratillo le echo un vistazo. Aunque sean sospechosos no tienen porque ser rootkit, la herramienta no es perfecta ninguna de este tipo lo son, el usuario tiene que investigar estos archivos y decidir.

Un saludo.

tonio dijo...

Mil gracias!!
Voy a currarmelo un poco, no quiero marearte más.

Por cierto conocias esto... yo lo acabo de descubrir.
http://www.subakutty.net/tunnelmanager/

Alvaro Paz dijo...

Hi
Perdona por no contestar antes leí el comentario y se me olvido contestar, tiene buena pinta habrá que probarlo a fondo, aunque existen software muy parecido.
Un saludo

Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.