Detectar Rootkits en sistemas Linux/UNIX.

Comparte en redes sociales
Ya he definido un rootkit en anteriores post, en este post voy a escribir sobre una herramienta para detectar rootkits en sistemas Linux/UNIX. Se trata de Rootkit Hunter una herramienta que detecta rootkits y exploits locales en el sistema, escaneando ficheros y directorios en busca de ficheros usados por rootkits y realizando comparaciones con testeo MD5.

Entre sus características destaca:

  • Detecta los rootkits: IntoXonia, NG rootkit , rootkit Phalanx2…
  • Soporte para archivos TCB shadow.
  • Chequea las características de los inodos de los archivos.
  • Testea configuración de SSH.

Rootkit Hunter ha sido testeado en los siguientes sistemas: AIX 4.1.5 / 4.3.3, ALT Linux, Aurora Linux, CentOS 3.1 / 4.0, Conectiva Linux 6.0, Debian 3.x, FreeBSD 4.3 / 4.4 / 4.7 / 4.8 / 4.9 / 4.10, FreeBSD 5.0 / 5.1 / 5.2 / 5.2.1 / 5.3, Fedora Core 1 / Core 2 / Core 3, Gentoo 1.4/2004.0/2004.1, Macintosh OS 10.3.4-10.3.8, Mandrake 8.1 / 8.2 / 9.0-9.2 / 10.0 / 10.1, OpenBSD 3.4 / 3.5, Red Hat Linux 7.0-7.3 / 8 / 9, Red Hat Enterprise Linux 2.1 / 3.0, Slackware 9.0 / 9.1 / 10.0 / 10.1, SME 6.0, Solaris (SunOS), SuSE 7.3 / 8.0-8.2 / 9.0-9.2, Ubuntu y Yellow Dog Linux 3.0 / 3.01.

Más información y descarga de Rootkit Hunter:
http://sourceforge.net/projects/rkhunter/

Como detectar rootkit:
http://vtroger.blogspot.com/2008/01/como-detectar-rootkit.html

Rootkit y herramientas desinfección:
http://vtroger.blogspot.com/2006/09/rootkit-y-herramientas-desinfeccin.html

Los rootkit la futura amenaza:
http://vtroger.blogspot.com/2006/03/los-rootkit-la-futura-amenaza.html

Rootkits:
http://vtroger.blogspot.com/2005/11/rootkits.html

9 pensamientos sobre “Detectar Rootkits en sistemas Linux/UNIX.

  1. Esto de los rootkits me preocupa bastante, al igual que no a mucho tardar tendremos que empezar a preocuparnos de instalar antivirus.

    De todos los que has probado, cual recomiendas???

  2. Hola

    Pues la verdad yo he probado tres: Tripwire, Chkrootkit y Rootkit Hunter. Son los tres bastante efectivos pero Rootkit Hunter es más completo y transparente para el usuario, además de que ha salido una versión reciente. Pero en estos casos yo siempre recomiendo usar dos, una segunda opinión siempre viene bien. Y puestos a elegir dos yo erigiría Chkrootkit y Rootkit Hunter ya que Tripwire lleva más de un año sin actualizarse.

    Un saludo

  3. oyes que me da dos ficheros sospechosos e intentado desistalarlos/eliminarlos pero no me va esto bien
    Como puedo hacer.
    Por cierto hai algun foro sobre esto y así no te doy tanto la bara.

  4. Hola Tonio
    El proyecto tiene una lista de correo donde se pueden consultar dudas sobre los resultados y errores del programa (en Ingles):
    https://lists.sourceforge.net/lists/listinfo/rkhunter-users
    Puedes enviarme el resultado a mi correo electrónico que figura en el blog y cuando tenga un ratillo le echo un vistazo. Aunque sean sospechosos no tienen porque ser rootkit, la herramienta no es perfecta ninguna de este tipo lo son, el usuario tiene que investigar estos archivos y decidir.

    Un saludo.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: