Google+

lunes, 16 de marzo de 2009

Detectar rootkit en nuestro sistema


Nadie esta salvo de esto, los rootkits son programas que esconden a otros programas maliciosos, o por lo menos ese es el fin más comun, desde robarnos información, hasta controlar el servidor.

A simple vista es difícil o prácticamente imposible saberlo, ya que nos oculta cosas del top o del ps -ef por ejemplo. Por eso os presento chkrootkit.A día de hoy la ultima versión estable es la 0.48.

Lo descargamos:

#wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

#tar -xvf chkrootkit.tar.gz

#cd chkrootkit-0.48

#make ( Este no lleva configure ni make install, así que nos crea el ejecutable en la carpeta en la que estamos trabajando)

#./chkrootkit (como root por que tiene que entrar en carpetas del sistema)

Ahora nos saldrá algo así:

isma@linux-aouo:~/Desktop/chkrootkit-0.48> sudo ./chkrootkit
root's password:
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected

...

Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'...  The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID          PID TTY    CMD
! root         2233 tty7   /usr/bin/X -br -nolisten tcp :0 vt7 -auth /var/lib/xdm/authdir/authfiles/A:0-eqQ83V
chkutmp: nothing deleted
isma@linux-aouo:~/Desktop/chkrootkit-0.48>

Parece todo limpio, si eres un experto en esto te aconsejo ejecutar:

#./chkrootkit -x

A mi con que me ponga que no esta infectado me vale, pero siempre hay gente que busca algo más.