Rkhunter, un escaneador de rootkits para Linux

18 02 2010

Rkhunter (o Rootkit Hunter) es una herramienta de Unix que detecta los rootkits, los backdoors y los exploit locales mediante la comparación de los hashes MD5 de ficheros importantes con su firma correcta en una base de datos en línea, buscando los directorios por defecto (de rootkits), los permisos incorrectos, los archivos ocultos, las cadenas sospechosas en los módulos del kernel, y las pruebas especiales para Linux y FreeBSD.

Para instalar la herramienta, abrimos un terminal, y ejecutamos:
$ sudo aptitude install rkhunter
Una vez descargada la herramienta es conveniente actualizar la base de datos de Rkhunter, para ello:
# rkhunter --update
Para escanear nuestro pc, hacemos:
# rkhunter -c
Si escaneamos por primera vez nuestro ordenador, observaremos que tenemos dos warnings de éste tipo:
/usr/sbin/unhide [ Warning ]
/usr/sbin/unhide-linux26 [ Warning ]

No os alarmeis, es normal, y se debe únicamente a que ambos ficheros no están actualizados en la BD. Para que no nos vuelvan a aparecer los warnings, hacemos:
rkhunter --propupd
Una buena forma de mantener nuestro equipo libre de rootkits y tener las revisiones al día, es automatizar el escaneo de nuestro ordenador. Para ello podemos crear un pequeño script y añadirlo a cron para que se ejecute cada día a la hora que nosotros determinemos.
Para añadir una nueva entrada a cron, ejecutamos en un terminal:
# crontab -e
Y añadimos:
0 0 * * * (/usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "rkhunter: reporte diario" tu@correo.loquesea)
Con ello haremos que rkhunter se ejecute cada día a las 12 de la noche y nos envíe el reporte a nuestro e-mail.

Fuente:

1) http://www.linux.ebre.cat/2009/12/rkhunter-anti-rootkit-para-linux-debian.html

Anuncios

Acciones

Información

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s




A %d blogueros les gusta esto: