Que son Los Rootkits:
Los Rootkits fueron descubiertos a mediados de los ’90.
En aquella época, los administradores de sistema del sistema operativo UNIX del SUN comenzaron a ver un comportamiento extraño en el servidor, la falta de espacio de disco, ciclos extra en la CPU y las conexiones de red que no se mostraba con el comando netstat.
¿¿Nos hemos quedado igual??
En fin un Rootkit es una herramienta la cual permite esconder todas aquellas actividades que realiza un intruso dentro de un sistema o nuestro sistema, teniendo acceso a el siempre y cuando quiera,
por eso cuando un intruso entra dentro de nuestro sistema es lo primero que suele instalar, estas herramientas son muy perjudiciales para los administradores de un sistema por el gran riesgo que conllevan y por que el usuario entra como root (superusuario), dentro de la raiz de nuestro sistema, para ello tenemos que saber como localizarlos, como funcionan y todos los mecanismos necesarios para detectarlos y anularlos.
¿ De que tipo de Rootkits hay ?
Bueno hay tres tipos de Roottkits disponibles hoy en dia los cuales son :
Los Kits binarios: que llegan hasta la meta substituyendo algunos ficheros del sistema por otros ya Troyaneados
Los Kits del núcleo: que utilizan los módulos o componentes del núcleo los cuales se remplazan por troyanos
Y por ultimo
Los Kits de librerias: los cuales emplean librerías del sistema para contener troyanos
¿ Por que existen ?
Pues bien y evidente para poder acceder al sistema los cuales remplazan archivos del sistema con archivos modificados para ejecutar no se que acciones las cuales sean a todo esto se le llaman Troyanos, en fin un Rootkit son un grupo de programas Troyanos. Creo que va quedando algo mas claro ¿no?.
Cual es su principal objetivo
El primero dolores de cabeza, el segundo es estar escondido o esconder archivos, acciones, entradas, visitas, etc, que haya hecho nuestro intruso en nuestro sistema y permanecer oculto dentro de nuestro sistema sin poder ser detectados por el administrador del mismo, el cual vamos ha enseñar algunos métodos que existen para poder detectar la existencia o presencia de Rootkits en nuestro sistema o el de un amigo vamos.
Algunos de los ficheros que se suelen troyanizar son:
login, su, telnet, netstat, ifconfig, ls, find, du, df, libc, sync, y binarios en /etc/inetd.conf
Suficientes para el dolor de cabeza
Una lista de Rootkits son
Solaris rootkit,
FreeBSD rootkit,
lrk3,
lrk4,
lrk5,
lrk6,
t0rn (and t0rn v8),
some lrk variants,
Ambient’s Rootkit for Linux (ARK),
Ramen Worm,
rh[67]-shaper,
RSHA,
Romanian rootkit,
RK17,
Lion Worm,
Adore Worm,
LPD Worm,
kenny-rk,
Adore LKM,
ShitC Worm,
Omega Worm,
Wormkit Worm,
dsc-rootkit.
Como los detectamos
A. Existen maneras de diferenciar los ejecutables legítimos de los troyanos mediante el uso de algoritmos de chequeo de suma. Dichos algoritmos, como el MD5 checksum, garantizan que la única forma de que el resultado de la suma sea igual para dos archivos, es que los dos archivos sean perfectamente idénticos. De esta forma, un administrador precavido debe almacenar los checksum de su sistema en dispositivos externos, tales como CD’s, para poder, más adelante, identificar rootkits comparando dichos números con los generados por un programa de chequeo en un momento determinado.
Una herramienta diseñada para este fin es Tripwire, el cual mantiene control de integridad sobre los archivos del sistema. Esta herramienta se encuentra disponible para sistemas Unix/Linux en
B. Otra manera para detectar la posible existencia de Rootkits es realizar escaneos de puertos desde otros equipos, con el fin de detectar puertas traseras que estén escuchando en puertos que normalmente no se utilizan. También existen demonios especializados, como rkdet para detectar cualquier intento de instalación de un Rootkit y, de ser posible, impedirlo y avisar al administrador del hecho.
C. Otra herramienta es Chkrootkit ( http://www.chkrootkit.org/ ), que es un shell script que busca en nuestro sistema binarios modificados por rootkits.
Entre otras tareas Chkrootkit revisa localmente rastros de Rootkits incluyendo detección de:
rootkits LKM
ifpromisc.c: para revisar y ver si la interface de red está en modo promiscuo
chklastlog.c: para revisar lastlogs por las tachaduras
chkkwtmp.c: para revisar wtmp por las tachaduras
Como los Eliminamos !!!
Hemos hablado sobre lo que es un Rootkit y que tipos Hay,
Tambien como localizarlos y como eliminarlos
Bien!! Todos sabemos que los sistemas Linux son bastante seguros y Pero nunca está demás comprobar periódicamente Nuestro sistema en Busca de algún tipo de malware (rootkits y troyanos).
Vamos a instalar el " rkhunter " Para ello tenemos que entrar en TERMINAL y lo instalamos con la siguiente Linea
sudo apt-get install chkrootkit rkhunter
Luego tenemos que actualizarlo !! Para ello nos Logeamos como Root con el siguiente Comando
sudo bash
Luego llamaremos al Programa escribiendo su nombre en la Terminal
rkhunter
Luego con el Siguiente Codigo lo actualizamos
rkhunter --update
Una vez Finalizado Realizaremos el Chequeo de nuestro sistema
rkhunter –checkall
Nos mostrara un informe muy completo con todos los resultados de los análisis y probablemente hará alguna sugerencia.
Después continuamos con el chkrootkit lo llamamos con el siguinto Codigo en terminal
chkrootkit
Espero que les Haya Gustado Mi Post
Sera Hasta la Proxima !!!
Sera Hasta la Proxima !!!
