Aquellos de nosotros en UNIX-land (y sí, la gente de Mac, eso te incluye a ti) no tenemos que lidiar con malware a menudo. Hay espacio para el debate sobre las razones exactas de eso, pero pocos argumentarían que Linux, BSD y OSX son golpeados tan fuerte o tan seguido como Windows. Sin embargo, esto no nos hace inmunes al malware. Todos descargamos software en línea, e incluso aquellos que solo usan los paquetes de su proveedor de software pueden verse afectados por errores o agujeros de seguridad que pueden permitir el ingreso de personas o software desagradables. Como dice el viejo refrán, “una onza de prevención vale una libra de cura”. Hoy nos gustaría mostrarle algunas formas en las que puede escanear su sistema para asegurarse de que no haya errores desagradables. rootkits acechando en las sombras.
El escaneo personal rápido y sucio
Una técnica común utilizada por algunos autores de malware es reemplazar un sistema binario normal por uno que realiza acciones adicionales o alternativas. Muchos de ellos intentan protegerse haciendo que sus versiones corruptas sean inmutables en un intento de hacer que la infección sea más difícil de eliminar. Afortunadamente, esto deja rastros que pueden ser detectados por las herramientas normales del sistema.
Utilice el comando lsattr para mostrar los atributos de los archivos binarios de su sistema en ubicaciones como /bin, /sbin y /usr/bin, como se muestra aquí.
La salida normal y no sospechosa debería verse así.
Es posible que necesite privilegios de root para escanear algunos lugares como /sbin. Si la salida contiene otros atributos como s, i o a, eso podría ser una señal de que algo anda mal, y es posible que desee probar un análisis más profundo como se muestra a continuación.
Escáner #1 – Chkrootkit
Chkrootkit es una herramienta para escanear los archivos vitales de su sistema para determinar si alguno de ellos muestra signos de malware conocido. Es un grupo de secuencias de comandos que utilizan herramientas y comandos del sistema existentes para validar los archivos del sistema y la información de /proc. Debido a esto, se recomienda que se ejecute desde un CD en vivo, donde puede haber una mayor confianza de que las herramientas base no se han visto comprometidas. Puede ejecutarlo desde la línea de comando con solo
# You might need "sudo" for root privileges chkrootkit
pero dado que chkrootkit no crea un archivo de registro de forma predeterminada, recomendaría redirigir la salida a un archivo de registro, como con
chkrootkit > mylogfile.txt
y cuando termine, simplemente abra el archivo de registro en el editor de texto de su elección.
Escáner #2 – Cazador de rootkits (rkhunter)
Cazador de rootkits se parece mucho a chkrootkit, pero basa gran parte de su funcionalidad en comprobaciones de hash. El software incluye hashes SHA-1 buenos conocidos de archivos comunes del sistema, y si encuentra que los suyos difieren, emitirá un error o una advertencia, según corresponda. Rootkit Hunter también podría llamarse más completo que chkrootkit, ya que incluye controles adicionales sobre el estado de la red, los módulos del kernel y otras piezas que chkrootkit no analiza.
Para iniciar un escaneo local normal, simplemente ejecute
# You might need "sudo" for root privileges rkhunter -c
Cuando se complete, se le mostrará un resumen con los resultados de su escaneo.
Rootkit Hunter crea un archivo de registro de forma predeterminada y lo guarda en /var/log/rkhunter.log.
Conclusión
Tenga cuidado: ambas aplicaciones, así como el método «manual», pueden producir falsos positivos. Si obtiene un resultado positivo, investíguelo a fondo antes de tomar cualquier medida. Con suerte, uno de estos métodos puede ayudarlo a identificar una amenaza antes de que se convierta en un problema. Si tiene alguna otra sugerencia sobre cómo detectar archivos o aplicaciones desagradables, háganoslo saber en los comentarios a continuación.
Credito de imagen: rykerstribe