viernes, 31 de enero de 2014

Rkhunter, el cazador de rootkits

Hoy vamos  a aprender a usar la herramienta para entornos Linux llamada rkhunter para localizar y eliminar rootkits de nuestro sistema.

¿Que son los rootkits? Los rootkits son programas ocultados normalmente entre los archivos protegidos del sistema con altos privilegios en el sistema permitiendo al atacante acceder al sistema infectado.

La palabra rootkit viene de root (administrador con control total en el sistema) y kit ( conjunto de programas, drivers, claves en el registro, procesos y puertos)

Para instalarlo podemos usar los repositorios de apt con: apt-get install rkhunter


Si queremos ver las opciones que tiene basta con poner: rkhunter

Asi que vamos a hacer un analisis basico: rkhunter --check


Pero en caso de que el estado sea warning deberemos investigar para ver si es malicioso o un falso positivo. En este caso se dio en el apartado system commands.


Y en un segundo análisis busca indicios de rootkits maliciosos que tiene en su base de datos.

Después de unos analisis extras que hace nos emitirá un informe resumido sobre los resultados obtenidos, que guarda una copia en /var/log/rkhunter.log


Sin duda es una gran herramienta con un peso reducido, fácil de usar y muy eficaz para defendernos en entornos Linux.


Saludos guerreros!!

No hay comentarios:

Publicar un comentario