Detectando rootkits con Chkrootkit

Según la Wikipedia: “Chkrootkit (Check Rootkit) es un programa informático de consola, común en sistemas operativos Unix y derivados. Permite localizar rootkits conocidos, realizando múltiples pruebas en las que busca entre los binarios modificados por dicho software. Este guion de consola usa herramientas comunes de UNIX/Linux como las órdenes strings y grep para buscar las bases de las firmas de los programas del sistema y comparar un transversal del archivo /proc con la salida de la orden ps (estado de los procesos (process status) para buscar discrepancias. Básicamente hace múltiples comprobaciones para detectar todo tipo de rootkits y ficheros maliciosos.”

Es decir es una herramienta que nos permite escanear nuestra PC/Servidor buscando archivos infectados. Sobre todo los rootkits/malware que tanto daño pueden causar.

NOTA: Seguramente muchos dirán “Pero si linux no tiene estos problemas” “linux no tiene virus” “yo no puedo infectarme” la idea es que en caso de ser portador elimines esta amenaza para que no sigas repartiéndola a otros usuarios ya sea por un pendrive o cualqueira de los métodos de infección. Incluso si posees una página web y tu servidor o sitio está con alguna infección, tus clientes o visitantes pueden también resultar infectados. La idea es evitar la propagación.

¿Como lo instalamos?
1) Instalación en CentOS RHEL y Fedora

# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar xvzf chkrootkit.tar.gz
# cd chkrootkit*
# make sense

2) Instalación en Debian, Ubuntu, Mint y derivados

# sudo apt-get install chkrootkit

¿Como funciona?
1) Ejecutarlo en CentOS RHEL y Fedora
Desde la carpeta de la herramienta ejecutamos:

# ./chkrootkit
# ./chkrootkit -q (solo muestra en pantalla los archivos infectados)
# ./chkrootkit > reporte.txt (crea un archivo .txt con los resultados del escaneo para así poder revizar luego de finalizado)

2) Ejecutarlo en Debian, Ubuntu, Mint y derivados

# sudo chkrootkit
# sudo chkrootkit -q (solo muestra en pantalla los archivos infectados)
# sudo chkrootkit > reporte.txt (crea un archivo .txt con los resultados del escaneo para así poder revizar luego de finalizado)

Como cada herramienta de detección tiene sus falsos/positivos, se debe estudiar cada archivo detectado para así no cometer un error.

Que te pareció el Post? Comentá

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.