ROOTKITS: Qué son y como detectarlos en Linux

Es probable que un intruso al lograr colarse en tu sistema, lo primero que realizará es instalar una serie de rootkits. Con ello obtendrá control del sistema a partir de ese momento. Estas herramientas mencionadas, representan un gran riesgo. Por lo cual, es sumamente necesario conocer de que se tratan, su funcionamiento y como detectarlos.

La primera vez que notaron su existencia fue en la época de los 90, en el sistema operativo Unix de SUN. Lo primero que percibieron los administradores fue un extraño comportamiento en el servidor. El CPU sobre utilizado, déficit de espacio en el disco duro y conexiones de red no identificadas a través del comando netstat.

ROOTKITS: Qué son y como detectarlos en Linux

¿Qué son los Rootkits?

Son herramientas, las cuales tienen por objetivo principal ocultarse a si mismas y ocultar cualquier otra instancia que revele la presencia intrusa en el sistema. Por ejemplo, cualquier modificación en procesos, programas, directorios o archivos. Esto permite al intruso ingresar al sistema de manera remota e imperceptible, en la mayoría de los casos con fines maliciosos como extraer información de gran importancia o ejecutar acciones destructivas. Su nombre nace de la idea que un rootkit te permite acceder de manera fácil como usuario root, posterior a su instalación.

Su funcionamiento se centra en el hecho de reemplazar archivos de programa del sistema con versiones alteradas, con la finalidad de ejecutar unas acciones especificas. Es decir, imitan el comportamiento del sistema, pero mantienen oculta otras acciones y evidencias del intruso existente. Estas versiones modificadas son denominadas troyanos. Entonces, básicamente, una rootkit es un conjunto de troyanos.

Como sabemos, en Linux, los virus no son un peligro. El mayor riesgo existente, son las vulnerabilidades que se descubren día a día en sus programas. Las cuales pueden ser aprovechadas par que un intruso te instale un rootkit. Aquí radica la importancia de mantener el sistema actualizado en su totalidad, verificando de manera continua su estado.

Algunos de los ficheros que suelen ser victimas de troyanos son login, telnet, su, ifconfig, netstat, find, entre otros.

Así como también, los pertenecientes al listado de /etc/inetd.conf.

Quizás te interese leer: Consejos para mantenerte libre de malwares en Linux

Tipos de Rootkits

Podemos clasificarlos de acuerdo a la tecnología que empleen. Según esto, tenemos tres tipos principales.

• Binarios: Los que logran afectar un conjunto de archivos críticos del sistema. Sustituyendo ciertos archivos por su similar modificado.
• De núcleo: Los que afectan a los componentes del núcleo.
• De librerías: Hacen uso de librerías del sistema para retener Troyanos.

Detectando Rootkits

Esto podemos hacerlo de varias maneras:

• Verificación de legitimidad de los archivos. Esto mediante algoritmos usados para chequear la suma. Estos algoritmos son del estilo MD5 checksum, los cuales indican que para que la suma de dos archivos sea igual, es necesario que ambos archivos sean idénticos. Entonces, como buen administrador, debo almacenar los checksum de mi sistema en un dispositivo externo. De esta forma, más adelante podre detectar la existencia de rootkits a través de una comparación de esos resultados con los de cierto momento, con alguna herramienta de medición diseñada con ese objetivo. Por ejemplo, Tripwire.
• Otra forma que nos permite detectar la existencia de rootkits es realizar escaneos de puertos desde otras computadoras, con el objetivo de verificar si existen puertas traseras que estén escuchando en puertos que normalmente inutilizados.
• Existen también, demonios especializados como rkdet para detectar los intentos de instalación y en algunos casos hasta impedir que suceda y notificar al administrador.
• Otra herramienta son los de tipo shell script, como Chkrootkit, los cuales se encargan de verificar la existencia de binarios en el sistema, modificados por rootkits.

Coméntanos si has sido victima de un ataque con rootkits, o cuales son tus practicas para evitarlo?

Contáctanos por cualquier duda. Y por supuesto, entra en nuestra sección de Tutoriales o nuestra categoría de Linux, donde encontrarás muchísima información útil para sacar el máximo provecho a nuestro sistema.