Nueva version de: chkrootkit ; -herramienta para detectar rastros de rootkits

Enviado por jair en

Tema: 

chkrootkit es una herramienta que localiza signos de que en un servidor ha sido instalado un rootkit, para detectarlo y eliminarlo.

Los Rootkits son herramientas que permiten esconder actividades intrusas dentro de un sistema, después de que un intruso ha logrado penetrar en él. Además, proveen al atacante de vías de acceso ocultas para utilizar nuevamente el sistema en futuras oportunidades. El nombre Rootkit se origina a partir de la idea de que quien lo utiliza puede acceder fácilmente al nivel de root, o de administrador del sistema, una vez la herramienta ha sido instalada. Localizarlos y eliminarlos es una tarea muy complicada ya que los cambios son muy sutiles y no se captan a menos a que se realice una investigación a detalle.

Para es esta chkrootkit (http://www.chkrootkit.org/), que es un shell script que busca en nuestro sistema binarios modificados por rootkits.

Entre otras tareas Chkrootkit revisa localmente rastros de rootkits incluyendo detección de:

* rootkits LKM
* ifpromisc.c: para revisar y ver si la interface de red está en modo promiscuo
* chklastlog.c: para revisar lastlogs por las tachaduras
* chkkwtmp.c: para revisar wtmp por las tachaduras

# ./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not infected
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'...
....

La fiabilidad de chkrootkit puede verse comprometida ya que al ser un shell script y basarse en herramientas como echo, cut, awk, egrep, find, id, ls, netstat, head, ps, strings, etc, estas pueden contener algún tipo de troyano. La solución se basa en añadir un parámetro que indique a chkrootkit donde debe bascar estas herramientas. Puede buscarlas en un CDROM o un floppy.

Podeis descargarlo desde la pagina del proyecto: http://www.chkrootkit.org/