Para continuar con el tema de nuestra seguridad en el sistema operativo, vamos a ver a que se llama Rootkits y cómo buscarlos.

Que significa Rootkit?
Si desglosamos la palabra root: el superusuario, el usuario de mayor jerarquía del sistema operativo, el administrador del sistema; Y kit: conjunto, equipo, caja de herramientas.
Entonces, vamos a definir lo que es un rootkit: Es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a sí misma, esconder otros programas, procesos, directorios, archivos, procesos, llaves de registro y puertos, que en definitiva permiten a usuarios no autorizados obtener información sensible o mantener y comandar remotamente nuestra computadora.

Existen rootkits para Linux únicamente?
No, tambien existen para Windows, Solaris y otros sistemas operativos.

Entre los tipos de rootkits que podemos encontrar veremos los más sencillos de detectar, que funcionan a nivel de aplicaciones, que muchas veces reemplazan a ejecutables o modifican las acciones de dichas aplicaciones.
Los que actúan a nivel de kernel, produciendo modificaciones en el código en forma intrínseca en cambio son mucho mas difíciles de detectar y suelen agregarse a través de drivers o nuevos módulos, lo que dificulta mucho su detección.

Ahora, si sospechamos que somos víctimas de una herramienta de este tipo, podemos detectarlo?
A nivel de sistema operativo existen aplicaciones (que veremos enseguida) que realizan la búsqueda de rootkits pero ningún sistema operativo en ejecución es confiable para la detección y lo conveniente es ejecutar desde un CD-Rom o pendrive alguna herramienta de detección ya que un rootkit en estado inactivo, en un sistema operativo detenido es fácil de detectar.

La mayoría de antivirus actuales agrega a sus bases de datos información sobre estos, pero, dependen muchas veces del estado en que se encuentra el rootkit para ser o no detectado, como dije arriba y para hacer mas entendible: si el rootkit está integrado en el kernel de nuestra máquina será muy difícil detectarlo, pasando a depender del antivirus y su confiabilidad de que pueda detectarlo en algún momento de “reposo” del rootkit.

En Windows podemos encontrar diversas aplicaciones como RootkitRevealer o Blacklight (gratuita, pero de uso online)

En Linux veremos que existen dos aplicaciones a las cuales podemos hechar mano para escanear nuestra computadora de vez en cuando:

Chkrootkit: Esta herramienta verifica cambios en archivos binarios, si la interface está en modo promiscuo, busca varios troyanos, borrado de diversos logs del sistema, archivos php sospechosos, ssh por fuerza bruta y varias cosas mas. Es una de las herramientas mas simples y buenas en cuanto a detección.

Para instalarlo solo debemos hacer en consola:
$ sudo apt-get install chkrootkit

Para ejecutarlo basta con:
$ sudo chkrootkit

Si queremos ejecutarlo en modo experto:
$ sudo chkrootkit -x

RootkitHunter: es muy similar a chkrootkit y complementa perfectamente su uso ya que también puede escanear archivos de texto, archivos ocultos y nos da una lista bastante larga de rootkits detectados.

Para instalar debemos descargar desde la página oficial el paquete tar.gz
Una vez descargado lo descomprimimos y ejecutamos el script de instalación:
$ tar xvfz rkhunter-1.3.2.tar.gz
$ sudo ./installer.sh --layout default --install

Podemos tambíen poner:

$sudo apt-get install rkhunter


Para ejecutarlo solo debemos hacer:
$ sudo rkhunter -c

Con lo que empieza la verificación, al terminar veremos un log que podemos leer en detalle en /var/log/rkhunter.log y nos da información mas detallada del análisis.

Por último, para actualizar la base de datos basta con un:
$ sudo rkhunter --update

Fuente:

http://www.laconsolablog.com/2008/09/15/seguridad-en-ubuntu-ii-rootkits/