¿Qué son los Rootkit? Cómo detectarlos y eliminarlos.

Anuncios

Para continuar con el tema de nuestra seguridad en el sistema operativo, vamos a ver a que se llama Rootkits y cómo buscarlos.

Que significa Rootkit?
Si desglosamos la palabra root: el superusuario, el usuario de mayor jerarquía del sistema operativo, el administrador del sistema; Y kit: conjunto, equipo, caja de herramientas.
Entonces, vamos a definir lo que es un rootkit: Es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a sí misma, esconder otros programas, procesos, directorios, archivos, procesos, llaves de registro y puertos, que en definitiva permiten a usuarios no autorizados obtener información sensible o mantener y comandar remotamente nuestra computadora.

Existen rootkits para Linux únicamente?
No, tambien existen para Windows, Solaris y otros sistemas operativos.

Entre los tipos de rootkits que podemos encontrar veremos los más sencillos de detectar, que funcionan a nivel de aplicaciones, que muchas veces reemplazan a ejecutables o modifican las acciones de dichas aplicaciones.
Los que actúan a nivel de kernel, produciendo modificaciones en el código en forma intrínseca en cambio son mucho mas difíciles de detectar y suelen agregarse a través de drivers o nuevos módulos, lo que dificulta mucho su detección.

Ahora, si sospechamos que somos víctimas de una herramienta de este tipo, podemos detectarlo?
A nivel de sistema operativo existen aplicaciones (que veremos enseguida) que realizan la búsqueda de rootkits pero ningún sistema operativo en ejecución es confiable para la detección y lo conveniente es ejecutar desde un CD-Rom o pendrive alguna herramienta de detección ya que un rootkit en estado inactivo, en un sistema operativo detenido es fácil de detectar.

La mayoría de antivirus actuales agrega a sus bases de datos información sobre estos, pero, dependen muchas veces del estado en que se encuentra el rootkit para ser o no detectado, como dije arriba y para hacer mas entendible: si el rootkit está integrado en el kernel de nuestra máquina será muy difícil detectarlo, pasando a depender del antivirus y su confiabilidad de que pueda detectarlo en algún momento de “reposo” del rootkit.

En Windows podemos encontrar diversas aplicaciones como RootkitRevealer o Blacklight (gratuita, pero de uso online)

En Linux veremos que existen dos aplicaciones a las cuales podemos hechar mano para escanear nuestra computadora de vez en cuando:

Chkrootkit: Esta herramienta verifica cambios en archivos binarios, si la interface está en modo promiscuo, busca varios troyanos, borrado de diversos logs del sistema, archivos php sospechosos, ssh por fuerza bruta y varias cosas mas. Es una de las herramientas mas simples y buenas en cuanto a detección.

Para instalarlo solo debemos hacer en consola:
$ sudo apt-get install chkrootkit

Para ejecutarlo basta con:
$ sudo chkrootkit

Si queremos ejecutarlo en modo experto:
$ sudo chkrootkit -x

RootkitHunter: es muy similar a chkrootkit y complementa perfectamente su uso ya que también puede escanear archivos de texto, archivos ocultos y nos da una lista bastante larga de rootkits detectados.

Para instalar debemos descargar desde la página oficial el paquete tar.gz
Una vez descargado lo descomprimimos y ejecutamos el script de instalación:
$ tar xvfz rkhunter-1.3.2.tar.gz
$ sudo ./installer.sh --layout default --install

Podemos tambíen poner:

$sudo apt-get install rkhunter


Para ejecutarlo solo debemos hacer:
$ sudo rkhunter -c

Con lo que empieza la verificación, al terminar veremos un log que podemos leer en detalle en /var/log/rkhunter.log y nos da información mas detallada del análisis.

Por último, para actualizar la base de datos basta con un:
$ sudo rkhunter --update

Fuente:

http://www.laconsolablog.com/2008/09/15/seguridad-en-ubuntu-ii-rootkits/

Anuncios

4 comentarios - ¿Qué son los Rootkit? Cómo detectarlos y eliminarlos.

CKsNecro +1
Entonces son como Spywares para Linux , lo que me reconforta que es mas fácil ganarse la lotería que toparse con uno de estos, sin embargo gracias por el Post, no esta de mas para tener precauciones.
fernantarin
...mi pc queda mas tiempo que antes, en la pantalla donde da la opcion para entrar a la BIOS.
...tambien, vieron la barra que indica que esta cargando, en la pantalla window al inicio...esa barra, hasta las 40 no para, va y viene 40-42 veces...cuando antes eran solo 6, y ya arrancaba...tambien el sonido de inicio, suena luego de un momento en que ya se logran visualizar todos los elementos del escritorio...

...pasé el Ccleaner, antimalwareBit(encontro cerca de 11-13 elementos), tuneUp(unos cuantos consejos para mayor efectiidad) y avast(encontro alrededor de 9-15 elementos).

_ _ _luego del inicio tambien funcionaba lenta, pero esta parte del problema se soluciono desfragmentando, con tuneup (lo habia hecho con el q viene en window pero no veia ningun efecto luego de eso).

...y ademas Avast encontro alrededor de 7 rootkits(en sistem volumen32, algo asi decia), que ahora tengo idea de lo q son.

CUESTION! el inicio continua igual de lento