Detectar Rootkits en sistemas Linux/UNIX.

Ya he definido un rootkit en anteriores post, en este post voy a escribir sobre una herramienta para detectar rootkits en sistemas Linux/UNIX. Se trata de Rootkit Hunter una herramienta que detecta rootkits y exploits locales en el sistema, escaneando ficheros y directorios en busca de ficheros usados por rootkits y realizando comparaciones con testeo MD5.

Entre sus características destaca:

  • Detecta los rootkits: IntoXonia, NG rootkit , rootkit Phalanx2…
  • Soporte para archivos TCB shadow.
  • Chequea las características de los inodos de los archivos.
  • Testea configuración de SSH.

Rootkit Hunter ha sido testeado en los siguientes sistemas: AIX 4.1.5 / 4.3.3, ALT Linux, Aurora Linux, CentOS 3.1 / 4.0, Conectiva Linux 6.0, Debian 3.x, FreeBSD 4.3 / 4.4 / 4.7 / 4.8 / 4.9 / 4.10, FreeBSD 5.0 / 5.1 / 5.2 / 5.2.1 / 5.3, Fedora Core 1 / Core 2 / Core 3, Gentoo 1.4/2004.0/2004.1, Macintosh OS 10.3.4-10.3.8, Mandrake 8.1 / 8.2 / 9.0-9.2 / 10.0 / 10.1, OpenBSD 3.4 / 3.5, Red Hat Linux 7.0-7.3 / 8 / 9, Red Hat Enterprise Linux 2.1 / 3.0, Slackware 9.0 / 9.1 / 10.0 / 10.1, SME 6.0, Solaris (SunOS), SuSE 7.3 / 8.0-8.2 / 9.0-9.2, Ubuntu y Yellow Dog Linux 3.0 / 3.01.

Más información y descarga de Rootkit Hunter:
http://sourceforge.net/projects/rkhunter/

Como detectar rootkit:
http://vtroger.blogspot.com/2008/01/como-detectar-rootkit.html

Rootkit y herramientas desinfección:
http://vtroger.blogspot.com/2006/09/rootkit-y-herramientas-desinfeccin.html

Los rootkit la futura amenaza:
http://vtroger.blogspot.com/2006/03/los-rootkit-la-futura-amenaza.html

Rootkits:
http://vtroger.blogspot.com/2005/11/rootkits.html

9 comentarios en “Detectar Rootkits en sistemas Linux/UNIX.

  • el enero 13, 2009 a las 10:21 pm
    Permalink

    Fantástica entrada!!!! aunque yo he instalado esto
    sudo apt-get -y install chkrootkit

    y lo ejecuto así
    sudo chkrootkit

    que opinas!

    Respuesta
  • el enero 14, 2009 a las 12:24 pm
    Permalink

    Esto de los rootkits me preocupa bastante, al igual que no a mucho tardar tendremos que empezar a preocuparnos de instalar antivirus.

    De todos los que has probado, cual recomiendas???

    Respuesta
  • el enero 14, 2009 a las 3:41 pm
    Permalink

    Hola

    Pues la verdad yo he probado tres: Tripwire, Chkrootkit y Rootkit Hunter. Son los tres bastante efectivos pero Rootkit Hunter es más completo y transparente para el usuario, además de que ha salido una versión reciente. Pero en estos casos yo siempre recomiendo usar dos, una segunda opinión siempre viene bien. Y puestos a elegir dos yo erigiría Chkrootkit y Rootkit Hunter ya que Tripwire lleva más de un año sin actualizarse.

    Un saludo

    Respuesta
  • el enero 15, 2009 a las 5:24 pm
    Permalink

    oyes que me da dos ficheros sospechosos e intentado desistalarlos/eliminarlos pero no me va esto bien
    Como puedo hacer.
    Por cierto hai algun foro sobre esto y así no te doy tanto la bara.

    Respuesta
  • el enero 16, 2009 a las 3:17 pm
    Permalink

    Hola Tonio
    El proyecto tiene una lista de correo donde se pueden consultar dudas sobre los resultados y errores del programa (en Ingles):
    https://lists.sourceforge.net/lists/listinfo/rkhunter-users
    Puedes enviarme el resultado a mi correo electrónico que figura en el blog y cuando tenga un ratillo le echo un vistazo. Aunque sean sospechosos no tienen porque ser rootkit, la herramienta no es perfecta ninguna de este tipo lo son, el usuario tiene que investigar estos archivos y decidir.

    Un saludo.

    Respuesta
  • el enero 21, 2009 a las 6:16 pm
    Permalink

    Hi
    Perdona por no contestar antes leí el comentario y se me olvido contestar, tiene buena pinta habrá que probarlo a fondo, aunque existen software muy parecido.
    Un saludo

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: