Fallo en la actualizacion de rkhunter
Tengo algunos nuevos servidores y como siempre, las revisiones de seguridad son esenciales y para ello, y particularmente importante para mi, tener instalado en mis máquinas rkhunter
, una herramienta de detección de rootkits para sistemas UNIX. En este artículo, compartiré mi experiencia instalando, configurando y solucionando un problema de actualización en rkhunter
, ofreciendo una guía detallada para aquellos que puedan enfrentar desafíos similares.
¿Qué es rkhunter?
Rootkit Hunter, o rkhunter
, es una herramienta esencial en la caja de herramientas de seguridad informática, utilizada para escanear sistemas en busca de rootkits, backdoors y otras amenazas. Su eficacia depende en gran medida de mantener actualizadas sus bases de datos a través de descargas regulares de internet.
Instalación de rkhunter
Para instalar rkhunter
en sistemas basados en Debian como Ubuntu, usamos los siguientes comandos:
sudo apt-get update
sudo apt-get install rkhunter
Problema al ejecutar la actualización
El problema se ocurrió claramente al ejecutar rkhunter --update
. Me encontré con un error que indicaba fallos en la actualización de varios archivos de datos importantes:
[ Rootkit Hunter version 1.4.6 ]
Checking rkhunter data files...
Checking file mirrors.dat [ Update failed ]
Checking file programs_bad.dat [ Update failed ]
Checking file backdoorports.dat [ Update failed ]
Checking file suspscan.dat [ Update failed ]
Checking file i18n versions [ Update failed ]
Al revisar los registros en /var/log/rkhunter.log
, encontré más detalles:
[06:01:12] Info: The mirrors file has been rotated: /var/lib/rkhunter/db/mirrors.dat
[06:01:12] Info: Executing download command '/usr/bin/curl --fail --output "/var/lib/rkhunter/tmp/rkhunter.upd.zCjGcwaXzn" http://rkhunter.sourceforge.net/1.4/mirrors.dat 2>/dev/null'
[06:01:12] Info: Download failed - 1 mirror(s) left.
La Solución a rkhunter "Download failed"
- Actualización Manual del Archivo
/var/lib/rkhunter/db/mirrors.dat
:- Modifiqué manualmente
mirrors.dat
, actualizando la versión y cambiando a URLs HTTPS.
- Modifiqué manualmente
Version:2021020602
mirror=https://rkhunter.sourceforge.net
remote=http://rkhunter.sourceforge.net
-
Configuración de Actualizaciones Automáticas:
- En el archivo de configuración
/etc/rkhunter.conf
, habilitéUPDATE_MIRRORS=1
y configuréMIRRORS_MODE=0
, esto me sorprendió un poco porque aunque claramente se menciona que deberían estar de esta forma, yo los tenía con otros valores.
- En el archivo de configuración
-
Cambio de Herramienta de Descarga:
- Tambien cambié la herramienta de descarga de
/bin/false
awget
, esto es importante porque el otro método de actualización es local, entonces una conexión a internet no es requerida, pero en mi caso, no planeo hacer actualizaciónes manuales, por lo que es imperativo elegir una aplicación para que realice esta tarea.
- Tambien cambié la herramienta de descarga de
Después de estos cambios, al ejecutar rkhunter --update
, todo funcionó correctamente:
[ Rootkit Hunter version 1.4.6 ]
Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ Skipped ]
Checking file i18n/de [ Skipped ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ Skipped ]
Checking file i18n/tr.utf8 [ Skipped ]
Checking file i18n/zh [ Skipped ]
Checking file i18n/zh.utf8 [ Skipped ]
Checking file i18n/ja [ Skipped ]
Conclusión
Este caso demuestra claramente por qué las actualizaciones regulares y el monitoreo de herramientas de seguridad son críticas para mantener los sistemas protegidos contra las últimas amenazas. Vulnerabilidades nuevas son descubiertas continuamente, y herramientas como rkhunter
deben evolucionar para detectar los nuevos tipos de malware y ataques.
Es importante recordar que, al realizar cambios de software, rkhunter
puede reportar diferencias en su próxima ejecución. Por lo tanto, es recomendable ejecutar sudo rkhunter --propupd
para actualizar rkhunter
a las nuevas propiedades de archivo. Este proceso es vital para asegurar que rkhunter
refleje el estado actual del sistema y mantenga su eficacia en la detección de amenazas.
Este caso resalta cómo pequeños cambios en la configuración pueden tener un gran impacto en el rendimiento de las herramientas de seguridad. Con estas mejoras, rkhunter
está ahora más preparado para proteger contra amenazas recientes, reforzando así la seguridad del sistema.
Happy coding! :D
Photo by Claudio Schwarz on Unsplash