miércoles, 16 de octubre de 2013

Búsqueda de rootkit con rkhunter en Backbox. Siéntete seguro.

Rkhunter es una aplicación que se encarga de buscar rootkit en Linux y de mostrar los ficheros y carpetas del sistema que han sido alterados. Lo que conseguimos con ello, adeás de saber si nuestro equipo contiene algún tipo de Rootkit, es saber también que carpetas(del propio sistema) han sido modificadas, han cambiado sus permisos o simplemente se han ocultado o borrado.

Rkhunter es una aplicación que podemos utilizar en cualquier Linux, de hecho esta prueba se realizó sobre backbox pensando que al ser una distribución pensada para la seguridad y con muchas herramientas de pentesting, sus archivos, carpetas y configuraciones estarían modificados, y rkhunter mostraría un montón de warning. Sin embargo me he llevado una gran sorpresa.

Podemos sentirnos igual de seguros en Backbox o en Kali como en cualquier otra distribución. A pesar de que son Linux completamente modificados, los permisos y carpetas no se han visto afectados.

Lo que se hizo muy lanzar un simple check sobre el sistema con el siguiente comando:

#rkhunter –check

Si que es cierto que hay un par de warning, pero nada de lo que preocuparse. Estos warning también salen en Ubuntu y Debian.

En primer lugar cuando se lanza rkhunter lo que chequea es el estado de las carpetas del sistema.


Y posteriormente lanza una exhaustiva búsqueda de Rootkit


También hace una búsqueda en las interface de red en busca de puertos abiertos. Incluso comprueba si existe malware en el arranque del sistema.


Como resultado final, nos muestra un breve resumen.