Análisis de rootkits con RKHunter

Expertise: Media

Rootkit Hunter, también conocido como RKHunter, es un escáner de rootkits para Linux. Un rootkit es un programa malicioso sigiloso, que se ha creado para ocultar la existencia de ciertos procesos o programas de métodos habituales de detección y permitir acceso privilegiado continuo a una computadora. Un servidor infectado con un rootkit está, en consecuencia, comprometido a nivel de sistema. Siga estas instrucciones para analizar su servidor por este tipo de compromiso:

1 - Instale RKHunter

Deberá haber iniciado sesión como root al servidor por SSH. Asegúrese de reemplazar el comando de descarga a continuación con la última versión de RKHunter.

cd /usr/local/src/
wget http://pilotfiber.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
cd rkhunter*
./installer.sh --layout default --install
 cd .. && rm -rf rkhunter-*


2 - Actualice la versión y las firmas más recientes:

/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --propupd


3 - Ejecute el análisis

/usr/local/bin/rkhunter --check --sk --logfile /tmp/rkhunter.log


4 - Verifique el informe de análisis

egrep -i "warning:|\[ warning \]" /tmp/rkhunter.log && awk '/System checks summary/ {f=1}f' /tmp/rkhunter.log


Algunas advertencias como "command replaced by a script" (comando reemplazado por un script), "Hidden file" (Archivo oculto or "Hidden directory" (Directorio oculto) podrían ser falsos positivos. Deben revisarse manualmente.

Sin embargo, el resumen de comprobación del sistema "Posssible rootkits" (Rootkits posibles) debería ser 0. 

5 - Si el servidor está infectado

Un servidor infectado con un rootkit está, en consecuencia, comprometido a nivel de sistema. Si se ha detectado un rootkit, el servidor debe instalarse de nuevo y todas las contraseñas deben cambiarse inmediatamente tras la reinstalación.

6 - Configuraciones avanzadas:

/etc/rkhunter.conf puede configurarse para que envíe informes de análisis por correo electrónico, o desactivar algunas advertencias como inicio como root vía SSH permitido, o habilita un dir oculto específico.

Lea más información disponible en /etc/rkhunter.conf o http://rkhunter.sourceforge.net/

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk