Fallo en la actualizacion de rkhunter

Fallo en la actualizacion de rkhunter

Tengo algunos nuevos servidores y como siempre, las revisiones de seguridad son esenciales y para ello, y particularmente importante para mi, tener instalado en mis máquinas rkhunter, una herramienta de detección de rootkits para sistemas UNIX. En este artículo, compartiré mi experiencia instalando, configurando y solucionando un problema de actualización en rkhunter, ofreciendo una guía detallada para aquellos que puedan enfrentar desafíos similares.

¿Qué es rkhunter?

Rootkit Hunter, o rkhunter, es una herramienta esencial en la caja de herramientas de seguridad informática, utilizada para escanear sistemas en busca de rootkits, backdoors y otras amenazas. Su eficacia depende en gran medida de mantener actualizadas sus bases de datos a través de descargas regulares de internet.

Instalación de rkhunter

Para instalar rkhunter en sistemas basados en Debian como Ubuntu, usamos los siguientes comandos:

sudo apt-get update
sudo apt-get install rkhunter

Problema al ejecutar la actualización

El problema se ocurrió claramente al ejecutar rkhunter --update. Me encontré con un error que indicaba fallos en la actualización de varios archivos de datos importantes:

[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ Update failed ]
  Checking file programs_bad.dat                             [ Update failed ]
  Checking file backdoorports.dat                            [ Update failed ]
  Checking file suspscan.dat                                 [ Update failed ]
  Checking file i18n versions                                [ Update failed ]

Al revisar los registros en /var/log/rkhunter.log, encontré más detalles:

[06:01:12] Info: The mirrors file has been rotated: /var/lib/rkhunter/db/mirrors.dat
[06:01:12] Info: Executing download command '/usr/bin/curl  --fail --output "/var/lib/rkhunter/tmp/rkhunter.upd.zCjGcwaXzn" http://rkhunter.sourceforge.net/1.4/mirrors.dat 2>/dev/null'
[06:01:12] Info: Download failed - 1 mirror(s) left.

La Solución a rkhunter "Download failed"

  1. Actualización Manual del Archivo /var/lib/rkhunter/db/mirrors.dat:
    • Modifiqué manualmente mirrors.dat, actualizando la versión y cambiando a URLs HTTPS.
Version:2021020602
mirror=https://rkhunter.sourceforge.net
remote=http://rkhunter.sourceforge.net

  1. Configuración de Actualizaciones Automáticas:

    • En el archivo de configuración /etc/rkhunter.conf, habilité UPDATE_MIRRORS=1 y configuré MIRRORS_MODE=0, esto me sorprendió un poco porque aunque claramente se menciona que deberían estar de esta forma, yo los tenía con otros valores.

  2. Cambio de Herramienta de Descarga:

    • Tambien cambié la herramienta de descarga de /bin/false a wget, esto es importante porque el otro método de actualización es local, entonces una conexión a internet no es requerida, pero en mi caso, no planeo hacer actualizaciónes manuales, por lo que es imperativo elegir una aplicación para que realice esta tarea.

Después de estos cambios, al ejecutar rkhunter --update, todo funcionó correctamente:

[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ Skipped ]
  Checking file i18n/de                                      [ Skipped ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ Skipped ]
  Checking file i18n/tr.utf8                                 [ Skipped ]
  Checking file i18n/zh                                      [ Skipped ]
  Checking file i18n/zh.utf8                                 [ Skipped ]
  Checking file i18n/ja                                      [ Skipped ]

Conclusión

Este caso demuestra claramente por qué las actualizaciones regulares y el monitoreo de herramientas de seguridad son críticas para mantener los sistemas protegidos contra las últimas amenazas. Vulnerabilidades nuevas son descubiertas continuamente, y herramientas como rkhunter deben evolucionar para detectar los nuevos tipos de malware y ataques.

Es importante recordar que, al realizar cambios de software, rkhunter puede reportar diferencias en su próxima ejecución. Por lo tanto, es recomendable ejecutar sudo rkhunter --propupd para actualizar rkhunter a las nuevas propiedades de archivo. Este proceso es vital para asegurar que rkhunter refleje el estado actual del sistema y mantenga su eficacia en la detección de amenazas.

Este caso resalta cómo pequeños cambios en la configuración pueden tener un gran impacto en el rendimiento de las herramientas de seguridad. Con estas mejoras, rkhunter está ahora más preparado para proteger contra amenazas recientes, reforzando así la seguridad del sistema.

Happy coding! :D

Photo by Claudio Schwarz on Unsplash

Jack Fiallos

Jack Fiallos

Related posts

Te gustó este artículo?