Cómo instalar chkrootkit

Este tutorial se centra en RootKits y cómo detectarlos usando Chkrootkit. RootKits son herramientas diseñadas para otorgar acceso o privilegios mientras oculta su propia presencia, o la presencia de un software adicional que otorga el acceso, el término "rootkit" se centra en ocultar el aspecto. Para lograr la ocultación de un software malicioso, RootKit se las arregla para integrarse en el kernel, el software o en el peor de los casos del objetivo.

Por lo general, cuando se detecta la presencia de un RootKit, la víctima necesita reinstalar el sistema operativo y el hardware fresco, analizar los archivos para transferir al reemplazo y se necesitará en el peor reemplazo de hardware.Es importante resaltar la posibilidad de falsos positivos, este es el principal problema de Chkrootkit, por lo tanto, cuando se detecta una amenaza, la recomendación es ejecutar alternativas adicionales antes de tomar medidas, este tutorial también explorará brevemente a Rkhunter como una alternativa. También es importante decir que este tutorial está optimizado para los usuarios de distribuciones de Linux de Debian y basado, la única limitación para otros usuarios de distribuciones es la parte de instalación, el uso de Chkrootkit es el mismo para todas las distribuciones.

Dado que RootKits tiene una variedad de formas de lograr sus objetivos que ocultan el software malicioso, Chkrootkit ofrece una variedad de herramientas para pagar estas formas. Chkrootkit es un conjunto de herramientas que incluye el programa principal de Chkrootkit y las bibliotecas adicionales que se enumeran a continuación:

chkrootkit: Programa principal que verifica los binarios del sistema operativo para las modificaciones de RootKit para saber si el código fue adulterado.

ifpromisc.C: verifica si la interfaz está en modo promiscuo. Si una interfaz de red está en modo promiscuo, un atacante o un software malicioso la puede utilizar para capturar el tráfico de red para analizarlo más tarde.

chklastlog.C: cheques para las deleciones de LastLog. LastLog es un comando que muestra información sobre los últimos inicios de sesión. Un atacante o rootkit puede modificar el archivo para evitar la detección si el sysadmin verifica este comando para aprender información sobre los inicios de sesión.

chkwtmp.C: cheques por deleciones WTMP. Del mismo modo, para el script anterior, Chkwtmp verifica el archivo WTMP, que contiene información sobre los inicios de sesión de los usuarios para tratar de detectar modificaciones en caso de que RootKit modifique las entradas para evitar la detección de intrusiones.

check_wtmpx.C: Este script es el mismo que el de los sistemas anteriores pero Solaris.
chkproc.C: verifica los signos de troyanos dentro de LKM (módulos de núcleo cargable).
chkdirs.C: Tiene la misma función que la anterior, verifica los troyanos dentro de los módulos del núcleo.
instrumentos de cuerda.C: Reemplazo de cadenas rápidos y sucios con el objetivo de ocultar la naturaleza de la raíz.
chkutmp.C: Esto es similar a chkwtmp pero verifica el archivo UTMP en su lugar.

Todos los scripts mencionados anteriormente se ejecutan cuando ejecutamos chkrootkit.

Para comenzar a instalar CHKROOTKIT en las distribuciones de Linux de Debian y Basado en ejecución:

# APT Instalar chkrootkit -y

Una vez instalado para ejecutarlo, ejecute:

# sudo chkrootkit

Durante el proceso, puede ver que todos los scripts que integran chkrootkit se ejecutan haciendo cada uno su parte.

Puede obtener una vista más cómoda con el desplazamiento de la tubería y menos:

# sudo chkrootkit | menos

También puede exportar los resultados a un archivo utilizando la siguiente sintaxis:

# sudo chkrootkit> Resultados

Luego para ver el tipo de salida:

# menos resultados

Nota: puede reemplazar "resultados" por cualquier nombre que desee dar el archivo de salida.

De forma predeterminada, debe ejecutar ChkrootKit manualmente como se explicó anteriormente, sin embargo, puede definir escaneos automáticos diarios editando el archivo de configuración de Chkrootkit ubicado en /etc /chkrootkit.conf, pruébelo usando Nano o cualquier editor de texto que desee:

# nano /etc /chkrootkit.confusión

Para lograr escaneo automático diario, la primera línea que contiene Run_daily = "falso" debe ser editado para Run_daily = "verdadero"

Así es como debería verse:

Prensa CONTROL+X y Y Para guardar y salir.

Rootkit Hunter, una alternativa a Chkrootkit:

Otra opción para chkrootkit es rootkit hunter, también es un complemento considerando que si encontró rootkits usando uno de ellos, usar la alternativa es obligatorio para descartar falsos positivos.

Para comenzar con rootkithunter, instálelo ejecutando:

# APT install rkhunter -y

Una vez instalado, para ejecutar una prueba, ejecute el siguiente comando:

# rkhunter -check

Como puede ver, como Chkrootkit, el primer paso de Rkhunter es analizar los binarios del sistema, pero también bibliotecas y cadenas:

Como verá, al contrario de Chkrootkit Rkhunter le solicitará que presione Enter para continuar con los próximos pasos, anteriormente Rootkit Hunter verificó los binarios y bibliotecas del sistema, ahora irá por raíces conocidas:

Presione Entrar para dejar que Rkhunter continúe con RootKits Búsqueda:

Luego, al igual que Chkrootkit, verificará las interfaces de su red y también los puertos conocidos por ser utilizados por traseros o troyanos:

Finalmente imprimirá un resumen de los resultados.

Siempre puede acceder a los resultados guardados en /var/log/rkhunter.registro:

Si sospecha que su dispositivo puede estar infectado por un RootKit o comprometido, puede seguir las recomendaciones enumeradas en https: // Linuxhint.com/detect_linux_system_hacked/.

Espero que hayas encontrado este tutorial sobre cómo instalar, configurar y usar Chkrootkit útil. Siga a Linuxhint para obtener más consejos y actualizaciones sobre Linux y Networking.