Rootkit en Linux.

Ya estoy de vuelta, no, si no me he ido tan solo he estado ausente.

Bueno hoy vamos a hablar de los Rootkits

Que son:

Los Rootkits fueron descubiertos a mediados de los ’90. En aquella epoca, los administradores de sistema del sistema operativo UNIX del SUN comenzaron a ver un comportamiento extraño en el servidor, la falta de espacio de disco, ciclos extra en la CPU y las conexiones de red que no se mostraba con el comando netstat.

¿¿Nos hemos quedado igual??

En fin un Rootkit es una herramienta la cual permite esconder todas aquellas actividades que realiza un intruso dentro de un sistema o nuestro sistema, teniendo acceso a el siempre y cuando quiera, por eso cuando un intruso entra dentro de nuestro sistema es lo primero que suele instalar, estas herramientas son muy perjudiciales para los administradores de un sistema por el gran riesgo que conllevan y por que el usuario entra como root (superusuario), dentro de la raiz de nuestro sistema, para ello tenemos que saber como localizarlos, como funcionan y todos los mecanismos necesarios para detectarlos y anularlos.

De que tipo de Rootkits hay

Bueno decir que hay tres tipos de Roottkits disponibles hoy en dia los cuales son :

Los Kits binarios que llegan hasta la meta substituyendo algunos ficheros del sistema por otros ya Troyaneados

Los Kits del núcleo que utilizan los módulos o componentes del núcleo los cuales se remplazan por troyanos

Y por ultimo

Los Kits de librerias los cuales emplean librerias del sistema para contener troyanos

Por que existen

Pues bien y evidente para poder acceder al sistema los cuales remplazan archivos del sistema con archivos modificados para ejecutar no se que acciones las cuales sean a todo esto se le llaman Troyanos, en fin un Rootkit son un grupo de programas Troyanos. Creo que va quedando algo mas claro ¿no?.

Cual es su principal objetivo

El primero dolores de cabeza, el segundo es estar escondido o esconder archivos, acciones, entradas, visitas, etc, que haya hecho nuestro intruso en nuestro sistema y permanecer oculto dentro de nuestro sistema sin poder ser detectados por el administrador del mismo, el cual vamos ha enseñar algunos métodos que existen para poder detectar la existencia o presencia de Rootkits en nuestro sistema o el de un amigo vamos.

Algunos de los ficheros que se suelen troyanizar son:

login, su, telnet, netstat, ifconfig, ls, find, du, df, libc, sync, y binarios en /etc/inetd.conf

Suficientes para el dolor de cabeza

Una lista de Rootkits son

Solaris rootkit, FreeBSD rootkit, lrk3, lrk4, lrk5, lrk6, t0rn (and t0rn v8), some lrk variants, Ambient’s Rootkit for Linux (ARK), Ramen Worm, rh[67]-shaper, RSHA, Romanian rootkit, RK17, Lion Worm, Adore Worm, LPD Worm, kenny-rk, Adore LKM, ShitC Worm, Omega Worm, Wormkit Worm, dsc-rootkit.

Como los detectamos

A. Existen maneras de diferenciar los ejecutables legítimos de los troyanos mediante el uso de algoritmos de chequeo de suma. Dichos algoritmos, como el MD5 checksum, garantizan que la única forma de que el resultado de la suma sea igual para dos archivos, es que los dos archivos sean perfectamente idénticosDe esta forma, un administrador precavido debealmacenar los checksum de su sistema en dispositivos externos, tales como CD’s, para poder, más adelante, identificar rootkits comparando dichos números con los generados por un programa de chequeo en un momento determinado.

Una herramienta diseñada para este fin es Tripwire, el cual mantiene control de integridad sobre los archivos del sistema. Esta herramienta se encuentra disponible para sistemas Unix/Linux en http://www.tripwire.org.

B. Otra manera para detectar la posible existencia de Rootkits es realizar escaneos de puertos desde otros equipos, con el fin de detectar puertas traseras que estén escuchando en puertos que normalmente no se utilizan. También existen demonios especializados, como rkdet para detectar cualquier intento de instalación de un Rootkit y, de ser posible, impedirlo y avisar al administrador del hecho.

C. Otra herramienta es Chkrootkit (http://www.chkrootkit.org/), que es un shell script que busca en nuestro sistema binarios modificados por rootkits.

Entre otras tareas Chkrootkit revisa localmente rastros de Rootkits incluyendo detección de:

rootkits LKM

ifpromisc.cpara revisar y ver si la interface de red está en modo promiscuo

chklastlog.c: para revisar lastlogs por las tachaduras

chkkwtmp.c: para revisar wtmp por las tachaduras

 

Proseguiremos con el post

 

Como eliminar los Rootkits

 

Un pensamiento en “Rootkit en Linux.”

Los comentarios están cerrados.