Chkrootkit - Falsos positivos

Imagen de pablo_g
0 puntos

Hola a todos.

Alguien sabe como se hace un analisis genuino con chkrootkit para saber si realmente existe la infeccion, dado que algunos ircd y portsentry devuelven como bindshells infectados.  

Imagen de cesaranguiano
+1
0
-1

Mediente el comando de ayuda podemos ver sus principales opciones "como usuario root":
Code:
#chkrootkit --help
Usage: /usr/sbin/chkrootkit [options] [test ...]
Options:
-h show this help and exit
-V show version information and exit
-l show available tests and exit
-d debug
-q quiet mode
-x expert mode
-r dir use dir as the root directory
-p dir1:dir2:dirN path for the external commands used by chkrootkit
-n skip NFS mounted dirs

Con la opción -l vamos a poder ver exactamente los test que "chkrootkit" realizará a nuestro sistema:
Code:
#chkrootkit -l

Tambien destaca la opción -x ya que con ella vamos a poder montar una partición de otro sistema linux que tengamos instalado en el mismo ordenador e indicarle a "chkrootkit" cual es el directorio / por el cual tiene que empezar a buscar.

Para poder en funcionamiento bastará con escribir "chkrootkit" en la linea de comandos, "como usuario root".
Code:
#chkrootkit

locally checks for signs of a rootkit:
http://www.chkrootkit.org/

Tambien disponemos de otra herramienta "rkhunter" que podremos hacer una buena busqueda en nuestro sistema linux a la caza y captura de los mas conocidos rootkit y exploits locales mediante comparaciones md5, permisos erroneos, ficheros ocultos, versiones de servidores vulnerables y otras comprobaciones.

Instalacion:

$sudo apt-get install rkhunter

Lo primero que tenemos que hacer una vez instalado en nuestro sistema es actualizarlo de la siguiente forma, "como usuario root":
Code:
#rkhunter --update

Para hacer un escaneo global y ademas le vamos a pedir que nos cree un fichero de log que por defecto lo tendremos en "/var/log/rkhunter.log". Tambien lo podemos dejar en nuestro directorio de trabajo, "como usuario root".
Code:
#rkhunter -c --createlogfile rkhunter.log

Tenemos que saber también intepretar los resultados, por ejemplo si hemos añadido un usuario nuevo al sistema desde la última vez que ejecutamos "rkhunter" escáner, nos dará un aviso ya que encontrará diferencias en los ficheros "passwd" y "group", (si hubieramos creado un grupo propio para ese usuario).

Para ayuda:
Code:
#rkhunter --help

The Rootkit Hunter project:
http://rkhunter.sourceforge.net/

Saludos,

César Anguiano Gaztelu

Pamplona, Navarra, España.

Ubuntu, user number: #14383.

Linux, user number: #341977.

+1
0
-1

César Anguiano Gaztelu
Pamplona, Navarra, España.
Ubuntu, user number: #14383.
Linux, user number: #341977.

Imagen de cesaranguiano
+1
0
-1

Rootkit Hunter.

* Ejecutar:
$ sudo -s
# rkhunter -c

Dentro de las opciones para su uso tenemos:

rkhunter (opción)

–checkall (or -c)
Verificar el sistema, realizar todas las verificaciones.

–createlogfile*
Crear un archivo log (se guarda en /var/log/rkhunter.log)

–cronjob
Correr como cronjob (tarea programada), (la info. se desplegara sin color)

–help (or -h)
Muestra la ayuda para usar el programa.

–nocolors*
No usar color para desplegar la información del programa (Para terminales que no entiendan o mal interpreten esta opción)

–report-mode*
No reportar información irrelevante, como header/footer. Como cuando se usa como cronjob o otro programa.

–skip-keypress*
No esperar antes de cada test (no interactivo)

–quick*
Realizar una exploración rápida (en vez de una completa). Saltarse algunas pruebas y realizar las más importantes (no es conveniente para exploraciones normales).

–version
Mostrar la versión y salir.

–versioncheck
Verificar la última versión.

Dynamic paths
–bindir (bindir)*
Usar otro directorio para buscar los binarios (uso en vez de los binirario por defecto)

–configfile (file)*
Usar otro archivo de configuración (si no usa el que está por defecto).

–dbdir (dir)*
Usar otro directorio para la base de datos (si no utiliza el que está ubicado en, /usr/local/rkhunter/db)

–rootdir (rootdir)*
Usar otro directorio raiz (normalmente ‘/’). Todos los binarios y test se realizan en ejecutan en este directorio (rootdir).

–tmpdir (tempdir)*
Usar otro directorio para guardar los archivos temporales.

Opciones explicitas de busqueda:

–disable-md5-check*
Desactivar la verificación del MD5.

–disable-passwd-check*
Desactivar la verificación del passwd/group

–scan-knownbad-files*
Detectar solo los rootkits ‘malos conocidos’.

Gracias:

Detecting rootkits on your machine running GNU/Linux:
http://linuxhelp.blogspot.com/2006/12/various-ways-of-detecting-rootkits...

 

César Anguiano Gaztelu

Pamplona, Navarra, España.

Ubuntu, user number: #14383.

Linux, user number: #341977.

+1
0
-1

César Anguiano Gaztelu
Pamplona, Navarra, España.
Ubuntu, user number: #14383.
Linux, user number: #341977.