Detectar y eliminar rootkits en nuestro sistema

Rootkit

Ya hemos hablado en diversas ocasiones sobre rootkits, y sobre seguridad en general. Pero esta vez vamos a centrarnos en cómo detectarlos y eliminarlos. Lo primero, para los que no sepan qué es un rootkit, se trata de un malware que puede componerse de un programa o conjunto de programas maliciosos que se camuflan para llevar a cabo tareas no deseadas y sin consentimiento del usuario.

Pues bien, en los entornos Unix y por supuesto en Linux, se pueden encontrar multitud de antivirus y otras herramientas específicas para eliminar este tipo de malware, como chkrootkit y rkhunter, que son de las más famosas. Te sonarán porque de ellas también hemos hablado en numerosas ocasiones en este blog, además ambas actúan de forma similar y al no realizar trabajo en segundo plano, no inferfieren entre sí en caso de tenerlos los dos instalados.

Para su instalación y uso, solo se necesitan un par de comandos en ambos casos, nada complicado. Por ejemplo, en el caso de quererlo instalar en un Debian o derivados, solo tenemos que teclear lo siguiente:


sudo apt-get intsall chkrootkit

sudo apt-get install rkhunter

Para usarlo (aunque puedes ver más opciones en man para afinar los análisis):

 sudo chkrootkit
sudo rkhunter --list tests

En el caso de rkhunter, antes del primer análisis hará falta actualizar la base de firmas con la opción –update. También hay otras opciones como –check, –disable <test>, etc., por lo que te recomiendo que revisos man rkhunter para ver más opciones.

¡Ojo! Puede haber falsos positivos, es decir, que detecte algunos posibles rootkits que no sean tales, por lo tanto, algunas de las amenazas que detectan puede que no lo sean. Normalmente es bueno usarlas las dos, porque no suelen dar los mismos falsos positivos y puedes descartar que se trate de una falta alarma contrastando los resultados. No obstante, antes de eliminar el rootkit, busca información en Google para no borrar ficheros importantes.


Escribe un comentario