Rootkits en Linux

Ok,vamos a ver como explicar esto superficialmente.La vieja pregunta de novatos [Es Linux inmune a los virus?]. Claro que no!. Pero antes dejame decir que se puede inmunizar!?!?..

Un supuesto Guru comenta en Linux.com sobre este viejo tema que se puede remontar a Bliss,aquel viejo virus para Linux sobre el cual hablè hace un tiempo ya!.

Uno de los peligros mas grande que puede tener una maquina corriendo bajo Linux (Servers/DM) es el acceso directo a root y los especialistas en esto son los Rootkits. Existe dos tipos de rootkits (usuario y kernel).

El que se encuentra al nivel del usuario es el mas facil de encontrar y eliminar,estos pueden modificar una aplicación con un programa propio y por eso se nos harán mas faciles de detectar al hacer un escaneo de programas que han sido modificados.

Otros rootkits son los que van dirigidos al kernel (LKM),estos son mas inteligentes y eso los hace mas dificiles de encontrar y eliminar.Tienen la abilidad de borrar logs e inclusive pueden reemplazar las llamadas del sistema (system calls).Un ejemplo muy complicado es el caso de Adore,uno de las mas potentes.

Importante: Sin acceso a root el atacante no podrá ocultar sus tracks con un rootkit!.

La mejor manera de prevenir los rootkits es mediante la práctica de la seguridad inteligente, por ejemplo,usar cortafuegos, buenas contraseñas,controlar los permisos,etc..

Un buen administrador como yo (jejejeje) que esté metido en el mundo de la seguridad puede detectar un rk rápidamente de una u otra forma,antes o despues de ser activado,lo mas simple: antes de ser activado podemos buscar en el directorio /usr/src/ por .maricon hahahaha,,lugar donde suelen estar los headers.De otra manera,,,verificando el cambio en el tamaño de un archivo o con un simple escaneo de una puerta,buscando una abierta.Pero lamentablemente no todos tenemos los mismos skills.

El tema de los rootkits es bastante interesante IMO,los vengo siguiendo por la red desde el 2007 y estudiando sus avances y creeme que existen rootkits para casi todos los OS y de faltar alguno,será incluido en un futuro no muy lejano.

Es tambien importante saber que hagas lo que hagas,siempre existirá la posibilidad de infección aunque tengas las mejores contraseñas,el mejor firewall,los protocolos mas seguros (SSL/SSh),etc,etc, nunca tendremos un 100% de seguridad.

Ver Detecting and Removing Rootkits para mayor información. [Eng].

4 thoughts on “Rootkits en Linux

  1. Gonzalo R. 10/02/2010 / 20:24

    Bueno eso es verdad al entrar a Internet ya eres vulnerable a cualquier ataque, pero igual es importante usar procedimientos de backups en los datos por si surgiera algún problemas. Un amigo mio me comento sobre chkrootkit para examinar si tienes rootkit tienes que acceder la contraseña root y este examina el sistema verificando si se produjo algún cambio en este. también esta rkhunter el cual no lo he utilizado.

    Like

    • Nico 10/02/2010 / 21:04

      Me es mas facil hacer el trabajo de chkrootkit manual (as root):

      cd /proc
      for i in `seq 1 33000`
      do
      test -d $i && ls -l $i/exe
      done

      Esto te da la oportunidad de ver los procesos que estan corriendo y decidir.

      En el link te lo explican mejor.

      Like

  2. pacomontoro 10/02/2010 / 21:43

    Joder un poco exagerado creo, esto de tanta cosa mala en la red. Quizás os encontréis más de un falso positivo que otra cosa.

    Saludos

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s