CHROOTKIT – RKHUNTER
Aunque hayamos hablado un poco acerca de lo que es un Rootkit, realmente lo que hemos expuesto aquí no es nada comparado con lo que encontraréis en el caso que os dé por buscar más información sobre ello.
Siempre se ha comentado que en Linux no hay virus o rootkits, pero la realidad es otra. La verdad es que sí existen, pero claro está, no del mismo modo e intensidad de los que hay en Windows.
Siempre se ha comentado que en Linux no hay virus o rootkits, pero la realidad es otra. La verdad es que sí existen, pero claro está, no del mismo modo e intensidad de los que hay en Windows.
A continuación haremos una breve explicación sobre como escanear nuestro sistema Linux en busca de algún rootkit de estos. Para hacer este mini tutorial vamos a emplear dos utilidades que después de buscar bastante, son los únicos que he encontrado (no digo que no hayan más, sólo que mi reducida inteligencia ha sabido encontrar estos dos) y que por lo visto son los más usados para tal fin.
Estas herramientas son Chrootkit y Rkhunter y según parece hacen la misma faena. Buscar información que haya sido modificada y que sea sospechosa de contener un bicho de estos.
Para instalarlos bastará con teclear:
sudo apt-get install chrootkit
sudo apt-get install rkhunter
Una vez instalados los programas, lo primero que deberemos hacer será actualizar Rkhunter y para ello en el terminal nos pondremos en modo superusuario. sudo su o como alternativasudo bash.
Y actualizaremos el programa. Primero lo llamaremos y después lo actualizaremos. En terminal
rkhunter
rkhunter --update
Ahora empezaremos el análisis del sistema. Cuando pongamos el código que continua aparecerá un informe del análisis y podréis comprobar si el programa ha encontrado algún fichero sospechoso. Puede que el programa una vez realizado el escaneo os aconseje alguna opción.
Rkhunter --checkall
Una vez terminado este proceso haremos un nuevo análisis con Chrootkit. Para empezar el escaneo llamamos al programa y él solo empezará a buscar.
Chrootkit
NOTA: Realmente no es que yo tenga mucha idea sobre estos programas. Los he usado algunas veces y de vez en cuando sale alguna pequeña alarma sobre algún fichero, pero nunca el nombre de ningún rootkit. Por lo que he podido leer, estos programas no eliminan el problema, lo que hacen es señalar donde está el rootkit y en su caso, como se llama. Según parece, si el programa encontrara alguno de ellos, lo que hay que hacer es buscar información en la red acerca de cómo
eliminarlo. Comento esto ya que cuando ejecutaréis estos programas tendréis delante vuestro una serie de datos que no sabréis muy bien qué hacer con ellos. Aun así dejaré un par de enlaces en el capítulo “Fuentes”, que entre todos os ayudarán (o no) a comprender un poco más este proceso.
Esperemos que tengáis vuestros ordenadores a salvo de intrusos, sobretodo si sois las administradoras de algún blog o página web, ya que tened muy en cuenta que sois más vulnerables de ser atacadas por el Estado y sus armas cyberpoliciales.