Chkrootkit

ChkRootKit es una herramienta que nos permite como su nombre lo indica buscar en tu sistema la presencia de rootkits, esta herramienta se instala relativamente fácil en los sistemas CentOS utilizando el siguiente comando:
yum install chkrootkit
Una vez instalado podemos hacer una revisión general de nuestro sistema usando:
chkrootkit
Lo que generará una lista con las infecciones posibles dentro de nuestro sistema:

[[email protected] ~]# chkrootkit

ROOTDIR is `/'

Checking `amd'... not found

Checking `basename'... not infected

Checking `biff'... not found

Checking `chfn'... not infected

Checking `chsh'... not infected

Checking `cron'... not infected

Checking `crontab'... not infected

Checking `date'... not infected

Checking `du'... not infected

Checking `dirname'... not infected

Checking `echo'... not infected

Checking `egrep'... not infected

Checking `env'... not infected

Checking `find'... not infected

Checking `fingerd'... not infected

Checking `gpm'... not found

Checking `grep'... not infected

Checking `hdparm'... not found

Checking `su'... not infected

Checking `ifconfig'... not infected

Checking `inetd'... not found

Es importante hacer notar, que si corres Postfix, Exim o algún otro servidor de Email, es probable que te encuentres con el siguiente falso positivo:

Checking `bindshell'... INFECTED (PORTS:  465)

Aquí, nos el sistema nos indica que tenemos el puerto 465 infectado, sin embargo para asegurarnos que es un falso positivo, ejecutamos el siguiente comando: fuser -vn tcp 465

Ejemplo:
[[email protected] ~]# fuser -vn tcp 465

                     USER        PID ACCESS COMMAND

465/tcp:             root       1080 F.... master 

Aquí nos podemos dar cuenta que el puerto 465 esta abierto por el proceso 1080, llamado master, así que vamos a buscar el binario que ejecuta dicho proceso, para eso usamos el comando: ps -F -p 1080


Ejemplo:
[[email protected] ~]# ps -F -p 1080 

UID        PID  PPID  C    SZ   RSS PSR STIME TTY          TIME CMD

root      1080     1  0 20226  3048   0 Nov04 ?        00:00:08 /usr/libexec/postfix/master


De esta manera comprobamos que el proceso master pertenece a postfix.

También podemos ejecutar: netstat -antup para comprobar los puertos abiertos en nuestro sistema

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   

tcp        0      0 0.0.0.0:443                 0.0.0.0:*                   LISTEN      9403/httpd          

tcp        0      0 127.0.0.1:8891              0.0.0.0:*                   LISTEN      985/dkim-filter  

tcp        0      0 :::21                       :::*                        LISTEN      1136/proftpd        

tcp        0      0 :::53                       :::*                        LISTEN      615/named           

tcp        0      0 :::25                       :::*                        LISTEN      1080/master         

tcp        0      0 ::1:953                     :::*                        LISTEN      615/named     



Redactado por: Gustavo Moya,
Fecha: 20 de Noviembre 2016

  • 13 Los Usuarios han Encontrado Esto Útil
¿Fue útil la respuesta?

Artículos Relacionados

CryptoPHP Infection

WordPress/Drupal/Joomla son unos de los sistemas de administración de contenidos que se...