Parablan

Hector Alejandro Parada Blanco


Cuidándonos de los rootkits

Categoria: Servidores
Hector Alejandro Parada Blanco
2019-10-02

Un rootkit es un conjunto de software que permite un acceso de privilegios continuo a un ordenador pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.

Información tomada de wikipedia.


Ya sabiendo el tema que trata este articulo, el día de hoy aseguraremos nuestro servidor Linux frente a las amenazas conocidas como rootkits, y para ello, necesitaremos tener más control sobre nuestro servidor, así como poder analizar anomalías que se puedan presentar en los diferentes procesos que ejecuta nuestra maquina, estas anomalías pueden ser producto de ataques perpetrados a nuestro sistema.

Para poder mitigar los impactos que se puedan generar tras la instalación de rootkits, podemos hacer uso de una herramienta de detección conocida como rkhunter, así que ejecutaremos el comando apt-get install rkhunter.

install_rkhunter

Una vez realizada la instalación, ejecutamos un análisis en busca de posibles rootkits que puedan estar instalados en nuestro sistema, ejecutando rkhunter --check.

rkhunter_check

Tras el análisis, rkhunter crea un log de eventos, con los resultados de la busqueda para su posterior análisis por parte del administrador del sistema. Para finalizar, como política de TI, deberiamos actualizar de forma periódica las firmas que utiliza rkhunter para la detección de rootkits, mediante el comando rkhunter --propupd.

rkhunter_update

Una buena practica es automatizar el proceso de busqueda mediante una tarea programada usando crontab (crontab -e), de esta forma podemos por ejemplo, hacer que rkhunter escanee el sistema en busca de rootkits todos los días a las 8 pm (0 20 * * * root rkhunter --check).

Si aún no sabes crear tareas programadas en Linux, en el siguiente link encontrarás la información necesaria sobre el uso de cron y crontab (blog.desdelinux.net)

rkhunter_check

¿Qué pasa si se detecta un rootkit en nuestro sistema? Esto quiere decir lamentablemente que nuestro sistema se encuentra comprometido, y puede ser que los atacantes usaran el rootkit para infectar más archivos del sistema, instalar software malicioso, copiar información o tratar de conectarse a otros servidores que se encuentren en la misma red. En este punto la única solución es reinstalar nuestro servidor con los distintos servicios que tenía configurados o mejor aún, restaurar una imagen del sistema antes del incidente (snapshot). Esta posible eventualidad así como su procedimiento para restaurar el sistema deberían estar bien definidos en el plan de continuidad del servicio en el área de TI.

 





Deja un comentario
Tu correo electrónico no será publicado. Tu nombre, comentario y código
captcha son obligatorios.


Comentario *
Nombre *
Correo electrónico

Captcha *