Parablan

Cuidándonos de los rootkits

Categoria: Servidores
Hector Alejandro Parada Blanco
2019-10-02

Un rootkit es un conjunto de software que permite un acceso de privilegios continuo a un ordenador pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.

Información tomada de wikipedia.

Ya sabiendo el tema que trata este articulo, el día de hoy aseguraremos nuestro servidor Linux frente a las amenazas conocidas como rootkits, y para ello, necesitaremos tener más control sobre nuestro servidor, así como poder analizar anomalías que se puedan presentar en los diferentes procesos que ejecuta nuestra maquina, estas anomalías pueden ser producto de ataques perpetrados a nuestro sistema.

Para poder mitigar los impactos que se puedan generar tras la instalación de rootkits, podemos hacer uso de una herramienta de detección conocida como rkhunter, así que ejecutaremos el comando apt-get install rkhunter.

Una vez realizada la instalación, ejecutamos un análisis en busca de posibles rootkits que puedan estar instalados en nuestro sistema, ejecutando rkhunter --check.

Tras el análisis, rkhunter crea un log de eventos, con los resultados de la busqueda para su posterior análisis por parte del administrador del sistema. Para finalizar, como política de TI, deberiamos actualizar de forma periódica las firmas que utiliza rkhunter para la detección de rootkits, mediante el comando rkhunter --propupd.

Una buena practica es automatizar el proceso de busqueda mediante una tarea programada usando crontab (crontab -e), de esta forma podemos por ejemplo, hacer que rkhunter escanee el sistema en busca de rootkits todos los días a las 8 pm (0 20 * * * root rkhunter --check).

Si aún no sabes crear tareas programadas en Linux, en el siguiente link encontrarás la información necesaria sobre el uso de cron y crontab (blog.desdelinux.net)

¿Qué pasa si se detecta un rootkit en nuestro sistema? Esto quiere decir lamentablemente que nuestro sistema se encuentra comprometido, y puede ser que los atacantes usaran el rootkit para infectar más archivos del sistema, instalar software malicioso, copiar información o tratar de conectarse a otros servidores que se encuentren en la misma red. En este punto la única solución es reinstalar nuestro servidor con los distintos servicios que tenía configurados o mejor aún, restaurar una imagen del sistema antes del incidente (snapshot). Esta posible eventualidad así como su procedimiento para restaurar el sistema deberían estar bien definidos en el plan de continuidad del servicio en el área de TI.

 

Deja un comentario
Tu correo electrónico no será publicado. Tu nombre, comentario y código
captcha son obligatorios.

Comentario *

Nombre *

Correo electrónico

Captcha *

Publicación	Fecha
Uso de variables en VBScript	2021-10-10
VBScript en 2021	2021-04-14
Moviendo objetos en JavaScript	2021-01-24
Inicio de sesión en PHP	2019-10-15

Publicación	Fecha
Reemplazando a root	2022-10-29
Cuidándonos de los rootkits	2019-10-02
Montando un servidor web en Linux Debian	2019-09-23
Instalando Linux Debian	2019-08-18

Publicación	Fecha
URL Manipulation Secretaria General Alcaldía ...	2020-02-14
La historia donde MasterCard, Visa y PayPal t ...	2020-01-23
Vulnerabilidad Path Traversal	2019-11-26
Fuga de información en el Fondo Nacional del ...	2019-08-30
Shoulder surfing o la técnica del disimulo	2019-08-21

Publicación	Fecha
Hello world	2019-08-13

Hector Alejandro Parada Blanco

Ingeniero de sistemas

Si deseas contactar con migo puedes escribirme al correo alejo1_3@hotmail.com, o sigueme en instagram y linkedin.

Adquiere mi libro Aprenda VBScript desde 0.0 2ª Edición en autoreseditores.

Un problema no tiene una única solución, tiene múltiples y encontrar la solución más óptima desemboca en arte y creatividad.