Mucho se dice que no existen virus para linux o OS X,pero el hecho de que no existan virus no quiere decir que no existan ataques para estos OS,este blog no es conocido por hack y tampoco sera conocido por eso,lo que pasa es que existen rootkits backdoors y exploit locales que tienen una cosa en común,atacan OS tipo UNIX,claro que también atacan a windows,pero en este caso atacan a UNIX,pero mas que hacking le podríamos decir cracking o system cracking (quebrar la seguridad de un sistema informático)y existe el anticrackig que va de la mano con el cracking y estos ataques se pueden llevar a cabo desde backtrack,blackubuntu,etc y pueden ser detectadas con Rkhunter que detecta los rootkits backdoors y los exploit locales mediante la comparación de los hashes MD5 de ficheros importantes con su firma correcta en una base de datos en línea.
Bueno pues en teoria lo que seria esto podría ser como un antivirus para windows,ya que detecta ataques,claro que esto es mas avanzado ya que no usamos interfaz y los ataques son muy fuertes ya que llegan hasta la raíz
Rootkit (el ataque)
Un rootkit es un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa “root” que significa raíz (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa “kit” que significa conjunto de herramientas (en referencia a los componentes de software que implementan este programa). El término “rootkit” tiene connotaciones negativas ya que se lo asocia al malware.
En otras palabras, usualmente se lo asocia con que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o extraer información sensible.
Típicamente, un atacante instala un rootkit en una computadora después de primero haber obtenido un acceso al nivel raíz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contraseña (ya sea por crackeo de la encriptación o por ingeniería social). Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización. Pese a que los rootktis pueden servir con muchos fines, han ganado notoriedad fundamentalmente como malware, escondiendo programas que se apropian de los recursos de las computadoras o que roban contraseñas sin el conocimiento de los administradores y de los usuarios de los sistemas afectados. Los rootkits pueden estar dirigidos al firmware, al hipervisor, al núcleo, ó , más comúnmente, a los programas del usuario.
La detección del rootkit es dificultosa pues es capaz de corromper al programa que debería detectarlo. Los métodos de detección incluyen utilizar un sistema operativo alternativo confiable; métodos de base conductual; controles de firma, controles de diferencias y análisis de volcado de memoria. La eliminación del rootkit puede ser complicada o prácticamente imposible, especialmente en los casos en que el rootkit reside en el núcleo; siendo a veces la reinstalación del sistema operativo el único método posible que hay para solucionar el problema.
Mas info
Rkhunter (la defensa)
Rkhunter (o Rootkit Hunter) es una herramienta de Unix que detecta los rootkits, los backdoors y los exploit locales mediante la comparación de los hashes MD5 de ficheros importantes con su firma correcta en una base de datos en línea, buscando los directorios por defecto (de rootkits), los permisos incorrectos, los archivos ocultos, las cadenas sospechosas en los módulos del kernel, y las pruebas especiales para Linux y FreeBSD.
Cambio en potencia
Desde el 2006, el desarrollador inicial Michael Boelen estuvo de acuerdo en entregar el código fuente. Desde ese entonces las ocho personas que administran el proyecto han estado trabajando duro para desarrollarlo y hacer el mantenimiento de la release. El proyecto se ha trasladado desde entonces a SourceForge.
Descarga e instalación
Les podría decir que para instalar hicieran esto
Para las distros basadas en RedHat
Para comproprobar actualizaciones.
Para las ditros basadas en ubuntu
Para ejecutarlo:
Para debian
Pero pueden tener problemas en debian y también para unificar esto y incluso incluir OS X, aquí el .tar.gz
Enlace
Lo instalan y lo abren(es un .sh),se abre desde terminal con este comando
Estos son los comandos mas importantes
Para estar seguros de que esta actualizado, con este comando:
Para realizar el escaneo con estos dos comandos:
Si en el primer escaneo les aparecen WARNINGS, pongan este otro comando; y vuelvan a escanear:
Eso es todo
Para mas info presionen en terminal
Si tienen dudas,o me quieren corregir en algo o se me olvido algo y saben que es comenten para ayudar a los otros lectores
Bueno pues en teoria lo que seria esto podría ser como un antivirus para windows,ya que detecta ataques,claro que esto es mas avanzado ya que no usamos interfaz y los ataques son muy fuertes ya que llegan hasta la raíz
Rootkit (el ataque)
Un rootkit es un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa “root” que significa raíz (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa “kit” que significa conjunto de herramientas (en referencia a los componentes de software que implementan este programa). El término “rootkit” tiene connotaciones negativas ya que se lo asocia al malware.
En otras palabras, usualmente se lo asocia con que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o extraer información sensible.
Típicamente, un atacante instala un rootkit en una computadora después de primero haber obtenido un acceso al nivel raíz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contraseña (ya sea por crackeo de la encriptación o por ingeniería social). Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización. Pese a que los rootktis pueden servir con muchos fines, han ganado notoriedad fundamentalmente como malware, escondiendo programas que se apropian de los recursos de las computadoras o que roban contraseñas sin el conocimiento de los administradores y de los usuarios de los sistemas afectados. Los rootkits pueden estar dirigidos al firmware, al hipervisor, al núcleo, ó , más comúnmente, a los programas del usuario.
La detección del rootkit es dificultosa pues es capaz de corromper al programa que debería detectarlo. Los métodos de detección incluyen utilizar un sistema operativo alternativo confiable; métodos de base conductual; controles de firma, controles de diferencias y análisis de volcado de memoria. La eliminación del rootkit puede ser complicada o prácticamente imposible, especialmente en los casos en que el rootkit reside en el núcleo; siendo a veces la reinstalación del sistema operativo el único método posible que hay para solucionar el problema.
Mas info
Rkhunter (la defensa)
Rkhunter (o Rootkit Hunter) es una herramienta de Unix que detecta los rootkits, los backdoors y los exploit locales mediante la comparación de los hashes MD5 de ficheros importantes con su firma correcta en una base de datos en línea, buscando los directorios por defecto (de rootkits), los permisos incorrectos, los archivos ocultos, las cadenas sospechosas en los módulos del kernel, y las pruebas especiales para Linux y FreeBSD.
Cambio en potencia
Desde el 2006, el desarrollador inicial Michael Boelen estuvo de acuerdo en entregar el código fuente. Desde ese entonces las ocho personas que administran el proyecto han estado trabajando duro para desarrollarlo y hacer el mantenimiento de la release. El proyecto se ha trasladado desde entonces a SourceForge.
Descarga e instalación
Les podría decir que para instalar hicieran esto
Para las distros basadas en RedHat
yum update rkhunter
Para comproprobar actualizaciones.
rkhunter --update
Para las ditros basadas en ubuntu
sudo apt-get install rkhunter
Para ejecutarlo:
sudo rkhunter
Para debian
aptitude install rkhunter
Pero pueden tener problemas en debian y también para unificar esto y incluso incluir OS X, aquí el .tar.gz
Enlace
Lo instalan y lo abren(es un .sh),se abre desde terminal con este comando
sudo rkhunter
Estos son los comandos mas importantes
Para estar seguros de que esta actualizado, con este comando:
sudo rkhunter --update
Para realizar el escaneo con estos dos comandos:
sudo rkhunter --check
sudo rkhunter -c --check
Si en el primer escaneo les aparecen WARNINGS, pongan este otro comando; y vuelvan a escanear:
sudo rkhunter --propupd
Eso es todo
Para mas info presionen en terminal
man rkhunter
Si tienen dudas,o me quieren corregir en algo o se me olvido algo y saben que es comenten para ayudar a los otros lectores
me sale en warning el mismo proceso que en la captura tuya y no se quita con sudo rkhunter --propupd
ResponderBorraralguna idea?
Lo malo de este tipo de programas es que solo nos dan una idea de donde buscar posibles riesgos de seguridad y muchas veces no va a eliminar esto porque puede ser ocasionar mas problemas al ser una falsa alarma,lo que pasa es que usa algoritmos muy basicos y en este caso debió encontrar ese error al encontrar un ejecutable con extensión en la carpeta de ejecutables,donde todos tendrian que ser ejecutables sin extension,pero aun asi los hay:
ResponderBorrarls /usr/bin/*.*
Y si el programa vio dentro de el y encontró una llamada a la shell (por ejemplo) es un risgo muy potente y mas en un lenguaje de script como es este caso que parece ser un ruby
Deberías investigarlo,en google por si es un error del programa,yo nunca lo hice :S.
Y para ver mas información sobre el escaneo que hizo puedes usar:
less /var/log/rkhunter.log
Saludos.