Rootkit Hunter (rkhunter) y Chkrootkit: Detectando lo Oculto en tu Sistema Linux
Ahora que he estado trabajando activamente en Deeditt, pues la seguridad es un tema al que hay que ponerle atencion y algunas de las herramentas en mi cajon de sorpresas son Rootkit Hunter y chkrootkit que actuan dos guardias de seguridad, cada uno con su propio enfoque, revisando meticulosamente cada rincón del sistema en busca de cualquier señal de actividad sospechosa. Si alguna vez te has preguntado cómo detectar amenazas ocultas en tu sistema Linux, estás en el lugar indicado.
¿Qué son rkhunter y chkrootkit y por qué son importantes?
Imagina que tu sistema Linux es una casa con muchas habitaciones y rincones oscuros. Un rootkit es como un intruso que se esconde en esos rincones, camuflándose para evitar ser detectado. rkhunter y chkrootkit son como dos guardias de seguridad, cada uno con su propio enfoque, revisando meticulosamente cada rincón del sistema en busca de cualquier señal de actividad sospechosa.
Un rootkit es un tipo de malware particularmente peligroso porque se oculta en las profundidades del sistema operativo, a menudo alterando programas críticos para evitar ser descubierto. rkhunter y chkrootkit trabajan de manera complementaria para detectar estas amenazas, ofreciendo una cobertura más amplia y efectiva.
Beneficios de usar rkhunter
-
Detección Temprana: Al igual que en la medicina, en ciberseguridad es mejor prevenir que curar. Rkhunter te ayuda a identificar posibles amenazas antes de que se conviertan en problemas serios.
-
Versatilidad: Además de buscar rootkits, rkhunter también puede detectar puertas traseras, sniffers, exploits y otros tipos de malware.
-
Automatización: Puedes programar rkhunter para que realice escaneos regulares, lo que te ahorra tiempo y mantiene tu sistema bajo vigilancia constante.
-
Código Abierto: Siendo una herramienta de código abierto, rkhunter es revisada y mejorada continuamente por la comunidad, lo que asegura su fiabilidad.
-
Personalizable: Puedes ajustar sus configuraciones para adaptarlo a las necesidades específicas de tu entorno.
Desafíos al usar rkhunter
-
Falsos Positivos: rkhunter puede ser muy cauteloso, y a veces marca como sospechosos archivos o configuraciones que en realidad son seguros.
-
Requiere Conocimientos Técnicos: Para sacar el máximo provecho de rkhunter, es necesario tener un buen entendimiento de cómo funciona tu sistema Linux y cómo interpretar los resultados.
-
Actualizaciones Constantes: Los rootkits evolucionan, y rkhunter necesita mantenerse al día con estas amenazas. Por lo tanto, es fundamental actualizarlo regularmente.
-
No es Infalible: Aunque es una herramienta poderosa, rkhunter no es perfecta y no debe ser tu única línea de defensa.
¿Qué es chkrootkit y cómo complementa a rkhunter?
Chkrootkit es otra herramienta ampliamente utilizada en la detección de rootkits en sistemas Unix y Linux. Al igual que rkhunter, busca signos de infecciones por rootkits, pero lo hace utilizando un enfoque ligeramente diferente. Mientras que rkhunter realiza una serie de comprobaciones exhaustivas y es muy configurable, chkrootkit se enfoca en un escaneo rápido y directo, buscando señales específicas de rootkits conocidos.
Beneficios de usar chkrootkit junto con rkhunter
-
Cobertura Completa: Al usar ambas herramientas, puedes beneficiarte de dos enfoques distintos para la detección de rootkits, aumentando la probabilidad de identificar amenazas que podrían pasar desapercibidas si solo usas una de las herramientas.
-
Complemento Ideal: Mientras que rkhunter realiza escaneos más profundos y detallados, chkrootkit es rápido y eficiente, lo que te permite ejecutar escaneos frecuentes con un impacto mínimo en el rendimiento del sistema.
-
Simplicidad y Eficiencia: Chkrootkit es muy fácil de instalar y usar, lo que lo convierte en un complemento perfecto para rkhunter, especialmente si estás buscando una solución ligera y rápida para escaneos regulares.
Instalación de rkhunter y chkrootkit
Instalar rkhunter y chkrootkit es sencillo en la mayoría de las distribuciones de Linux. Aquí te muestro cómo hacerlo:
En sistemas basados en Debian (como Ubuntu):
sudo apt-get update
sudo apt-get install rkhunter
sudo apt-get install chkrootkit
Una vez instalado, es crucial actualizar la base de datos para asegurarte de que rkhunter esté al tanto de las últimas amenazas:
sudo rkhunter --update
Y para ponerlo en marcha, simplemente ejecuta en la terminal lo siguiente:
sudo rkhunter --check --sk
[ Rootkit Hunter version 1.4.6 ]
Checking system commands...
Performing 'known bad' check... [ OK ]
Performing 'possible rootkit strings' check... [ OK ]
Performing 'known good' check... [ OK ]
Performing 'rootkit check'... [ Warning ]
Found: /usr/bin/stat
System checks summary
=====================
File properties checks...
Files checked: 142
Suspect files: 1
Rootkit checks...
Rootkits checked : 495
Possible rootkits: 0
Applications checks...
All checks skipped
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Para ejecutar un escaneo con chkrootkit, simplemente ejecuta:
sudo chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
...
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/debug/.build-id
/usr/lib/debug/.dwz
Configuración de rkhunter
La configuración de rkhunter se realiza principalmente a través del archivo /etc/rkhunter.conf
. Aquí te dejo algunas configuraciones clave que deberías considerar:
-
MAIL-ON-WARNING: Configura tu dirección de correo aquí para recibir alertas por email cuando rkhunter encuentre algo sospechoso.
-
ALLOW_SSH_ROOT_USER: Si permites el acceso root vía SSH (algo que generalmente no recomiendo), deberías establecer esta opción en "yes".
-
SCRIPTWHITELIST: Si tienes scripts que sabes que son seguros, pero que rkhunter podría marcar como sospechosos, inclúyelos en esta lista.
-
DISABLE_TESTS: Si rkhunter genera falsos positivos recurrentes, puedes desactivar pruebas específicas en esta sección.
Cada sistema es único, así que tómate el tiempo para ajustar estas configuraciones según las necesidades de tu entorno.
¿Cómo funciona rkhunter?
rkhunter realiza una serie de comprobaciones para identificar posibles amenazas en tu sistema. Aquí te explico algunas de las más importantes:
-
Comprobación de Archivos del Sistema: Busca modificaciones en archivos críticos del sistema, que podrían ser un indicio de un rootkit.
-
Búsqueda de Rootkits Conocidos: Compara tu sistema contra una base de datos de rootkits conocidos para detectar cualquier coincidencia.
-
Análisis de Permisos de Archivos: Verifica que los permisos de archivos importantes sean correctos, lo cual es vital para la seguridad.
-
Escaneo de Puertos: Busca puertos que estén abiertos de manera sospechosa, lo cual podría ser una señal de que alguien ha comprometido tu sistema.
-
Comprobación de Archivos Ocultos: Busca archivos y directorios ocultos que podrían ser indicios de actividad maliciosa.
Al ejecutar rkhunter, se generan informes detallados que te ayudan a entender si tu sistema está en riesgo.
Mi experiencia personal con rkhunter
He utilizado rkhunter en varias ocasiones, y recuerdo en particular la primera vez que lo ejecuté en un servidor que habíamos heredado de otro equipo. No estábamos seguros del estado del servidor, así que decidí usar rkhunter para verificar su seguridad. Para mi sorpresa, la herramienta detectó varios archivos sospechosos y configuraciones inusuales, lo que nos permitió tomar medidas preventivas a tiempo.
Consejos para sacar el máximo provecho de rkhunter y chkrootkit
-
Ejecútalos Regularmente: Configura cron jobs para ejecutar rkhunter y chkrootkit de manera periódica, asegurando una vigilancia constante de tu sistema.
-
Mantén la Base de Datos Actualizada: Tanto rkhunter como chkrootkit deben estar siempre al día para ser efectivos contra las amenazas más recientes.
-
Investiga las Advertencias: No ignores las advertencias que generan estas herramientas. Cada señal de alerta debe ser investigada para asegurarte de que no se trata de una amenaza real.
-
Úsalo en Conjunto con Otras Herramientas: Combina estas herrammientas con otras de seguridad como ClamAV para una protección más completa.
-
Aprende de los Resultados: Cada escaneo es una oportunidad para aprender más sobre tu sistema y cómo mantenerlo seguro.
Conclusión
rkhunter y chkrootkit es una herramienta poderosa en la lucha contra las amenazas ocultas en sistemas Linux. Aunque tiene sus desafíos, los beneficios superan con creces cualquier inconveniente. Con la configuración adecuada y un uso regular, estas herramientas pueden ser tu aliado confiable en la detección de intrusos sigilosos.
Happy coding! :D
Photo by Zanyar Ibrahim on Unsplash
Written with StackEdit.