Cómo instalar Chkrootkit

Este tutorial se centra en los rootkits y cómo detectarlos usando chkrootkit. Los rootkits son herramientas diseñadas para otorgar acceso o privilegios mientras ocultan su propia presencia, o la presencia de un software adicional que otorga el acceso, el término "rootkit" se enfoca en ocultar el aspecto. Para lograr ocultar un rootkit de software malicioso, logre integrarse en el kernel, software del objetivo o, en el peor de los casos, dentro del firmware del hardware.

Por lo general, cuando se detecta la presencia de un rootkit, la víctima debe reinstalar el sistema operativo y el hardware nuevo, analizar los archivos que se transferirán al reemplazo y, en el peor de los casos, será necesario reemplazar el hardware.Es importante resaltar la posibilidad de falsos positivos, este es el principal problema de chkrootkit, por lo tanto cuando se detecta una amenaza la recomendación es ejecutar alternativas adicionales antes de tomar medidas, este tutorial también explorará brevemente rkhunter como alternativa. También es importante decir que este tutorial está optimizado para Debian y usuarios de distribuciones de Linux basadas, la única limitación para otros usuarios de distribuciones es la parte de instalación, el uso de chkrootkit es el mismo para todas las distribuciones.

Dado que los rootkits tienen una variedad de formas de lograr sus objetivos ocultando software malicioso, Chkrootkit ofrece una variedad de herramientas para pagar estas formas. Chkrootkit es un conjunto de herramientas que incluye el programa principal chkrootkit y bibliotecas adicionales que se enumeran a continuación:

chkrootkit: Programa principal que comprueba los binarios del sistema operativo en busca de modificaciones de rootkit para saber si el código fue adulterado.

ifpromisc.C: comprueba si la interfaz está en modo promiscuo. Si una interfaz de red está en modo promiscuo, un atacante o software malintencionado puede utilizarla para capturar el tráfico de red y analizarlo posteriormente.

chklastlog.C: comprueba las eliminaciones del último registro. Lastlog es un comando que muestra información sobre los últimos inicios de sesión. Un atacante o rootkit puede modificar el archivo para evitar la detección si el administrador del sistema verifica este comando para obtener información sobre los inicios de sesión.

chkwtmp.C: comprueba las eliminaciones de wtmp. De manera similar, al script anterior, chkwtmp verifica el archivo wtmp, que contiene información sobre los inicios de sesión de los usuarios para intentar detectar modificaciones en caso de que un rootkit modifique las entradas para evitar la detección de intrusiones.

check_wtmpx.C: Este script es el mismo que el anterior, pero los sistemas Solaris.
chkproc.C: comprueba si hay signos de troyanos dentro de LKM (módulos de núcleo cargables).
chkdirs.C: tiene la misma función que la anterior, busca troyanos dentro de los módulos del kernel.
instrumentos de cuerda.C: reemplazo rápido y sucio de cadenas con el objetivo de ocultar la naturaleza del rootkit.
chkutmp.C: esto es similar a chkwtmp pero verifica el archivo utmp en su lugar.

Todos los scripts mencionados anteriormente se ejecutan cuando ejecutamos chkrootkit.

Para comenzar a instalar chkrootkit en Debian y distribuciones Linux basadas, ejecute:

# apt install chkrootkit -y

Una vez instalado para ejecutarlo, ejecute:

# sudo chkrootkit

Durante el proceso se puede ver que todos los scripts que integran chkrootkit se ejecutan haciendo cada uno su parte.

Puede obtener una vista más cómoda con el desplazamiento, agregando tubería y menos:

# sudo chkrootkit | menos

También puede exportar los resultados a un archivo utilizando la siguiente sintaxis:

# sudo chkrootkit> resultados

Luego, para ver el tipo de salida:

# menos resultados

Nota: puede reemplazar "resultados" por cualquier nombre que desee dar al archivo de salida.

De forma predeterminada, debe ejecutar chkrootkit manualmente como se explicó anteriormente, sin embargo, puede definir escaneos automáticos diarios editando el archivo de configuración chkrootkit ubicado en / etc / chkrootkit.conf, pruébalo usando nano o cualquier editor de texto que te guste:

# nano / etc / chkrootkit.conf

Para lograr un escaneo automático diario, la primera línea que contiene RUN_DAILY = "falso" debe ser editado para RUN_DAILY = "verdadero"

Así es como debería verse:

prensa CONTROL+X y Y para guardar y salir.

Rootkit Hunter, una alternativa a chkrootkit:

Otra opción para chkrootkit es RootKit Hunter, también es un complemento considerando si encontraste rootkits usando alguno de ellos, usar la alternativa es obligatorio para descartar falsos positivos.

Para comenzar con RootKitHunter, instálelo ejecutando:

# apt install rkhunter -y

Una vez instalado, para ejecutar una prueba, ejecute el siguiente comando:

# rkhunter --check

Como puede ver, al igual que chkrootkit, el primer paso de RkHunter es analizar los binarios del sistema, pero también las bibliotecas y cadenas:

Como verá, al contrario de chkrootkit, RkHunter le pedirá que presione ENTER para continuar con los siguientes pasos, anteriormente RootKit Hunter verificó los binarios y bibliotecas del sistema, ahora irá para rootkits conocidos:

Presione ENTER para permitir que RkHunter continúe con la búsqueda de rootkits:

Luego, como chkrootkit, verificará sus interfaces de red y también los puertos conocidos por ser utilizados por puertas traseras o troyanos:

Finalmente imprimirá un resumen de los resultados.

Siempre puede acceder a los resultados guardados en / var / log / rkhunter.Iniciar sesión:

Si sospecha que su dispositivo puede estar infectado por un rootkit o comprometido, puede seguir las recomendaciones que se enumeran en https: // linuxhint.com / detect_linux_system_hacked /.

Espero que haya encontrado útil este tutorial sobre cómo instalar, configurar y usar chkrootkit. Siga siguiendo LinuxHint para obtener más consejos y actualizaciones sobre Linux y redes.