Nadie esta salvo de esto, los rootkits son programas que esconden a otros programas maliciosos, o por lo menos ese es el fin más comun, desde robarnos información, hasta controlar el servidor.
A simple vista es difícil o prácticamente imposible saberlo, ya que nos oculta cosas del top o del ps -ef por ejemplo. Por eso os presento chkrootkit.A día de hoy la ultima versión estable es la 0.48.
Lo descargamos:
#wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
#tar -xvf chkrootkit.tar.gz
#cd chkrootkit-0.48
#make ( Este no lleva configure ni make install, así que nos crea el ejecutable en la carpeta en la que estamos trabajando)
#./chkrootkit (como root por que tiene que entrar en carpetas del sistema)
Ahora nos saldrá algo así:
isma@linux-aouo:~/Desktop/chkrootkit-0.48> sudo ./chkrootkit
root's password:
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
...
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 2233 tty7 /usr/bin/X -br -nolisten tcp :0 vt7 -auth /var/lib/xdm/authdir/authfiles/A:0-eqQ83V
chkutmp: nothing deleted
isma@linux-aouo:~/Desktop/chkrootkit-0.48>
Parece todo limpio, si eres un experto en esto te aconsejo ejecutar:
#./chkrootkit -x
A mi con que me ponga que no esta infectado me vale, pero siempre hay gente que busca algo más.
No hay comentarios:
Publicar un comentario