Detectar rootkit en nuestro sistema | Linuxadmin

Nadie esta salvo de esto, los rootkits son programas que esconden a otros programas maliciosos, o por lo menos ese es el fin más comun, desde robarnos información, hasta controlar el servidor.

A simple vista es difícil o prácticamente imposible saberlo, ya que nos oculta cosas del top o del ps -ef por ejemplo. Por eso os presento chkrootkit.A día de hoy la ultima versión estable es la 0.48.

Lo descargamos:

#wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

#tar -xvf chkrootkit.tar.gz

#cd chkrootkit-0.48

#make ( Este no lleva configure ni make install, así que nos crea el ejecutable en la carpeta en la que estamos trabajando)

#./chkrootkit (como root por que tiene que entrar en carpetas del sistema)

Ahora nos saldrá algo así:

isma@linux-aouo:~/Desktop/chkrootkit-0.48> sudo ./chkrootkit root’s password: ROOTDIR is `/’ Checking `amd’… not found Checking `basename’… not infected Checking `biff’… not found Checking `chfn’… not infected Checking `chsh’… not infected Checking `cron’… not infected Checking `crontab’… not infected Checking `date’… not infected Checking `du’… not infected Checking `dirname’… not infected Checking `echo’… not infected

Checking `egrep’… not infected

Checking `slapper’… not infected Checking `z2′… chklastlog: nothing deleted Checking `chkutmp’…  The tty of the following user process(es) were not found in /var/run/utmp ! ! RUID          PID TTY    CMD ! root         2233 tty7   /usr/bin/X -br -nolisten tcp :0 vt7 -auth /var/lib/xdm/authdir/authfiles/A:0-eqQ83V chkutmp: nothing deleted

isma@linux-aouo:~/Desktop/chkrootkit-0.48>

Parece todo limpio, si eres un experto en esto te aconsejo ejecutar:

#./chkrootkit -x

A mi con que me ponga que no esta infectado me vale, pero siempre hay gente que busca algo más.