¿Cómo reviso rootkits desde la Terminal en Ubuntu?

No siempre es necesario ser Conductor, y hay veces en las que conviene dejarse llevar. Por ejemplo, en esta ocasión, seré pasajero de un colectivo tranvía automotor, popularmente conocido como "bondi". Esto es así porque en ocasiones, disfruto de la seguridad que me da viajar como pasajero.

De la misma forma que en un colectivo, pocas cosas pueden hacerse en un sistema GNU con Linux si uno no es Conductor. Esto es así porque el sistema otorga al usuario común y corriente poca capacidad para cambiar lo establecido, y es quien lo conduce, el llamado root, quien controlará a fondo el sistema.

La malevolencia de una sinarquía sin Patria ni Bandera hará todo - no obstante - para perjudicarnos. Y para ello habrá de contar los los permisos de root y su acceso. En un sistema potente como el GNU, lo podrán hacer preferentemente a través de un inadvertido Rootkit.

Este tipo de programas, o secuencias, guiones de programación, etc, están pensados para hacer uso de alguna vulnerabilidad específica y la confianza del usuario para ganar acceso como Conductor (root) en un sistema.

Para analizar en el equipo local la existencia de alguno de estos escasos rootkit de Linux, podremos utilizar la conocida rutina chkrootkit. La misma se encuentra diseñada para buscar las trazas que tienen las los rootkits conocidos de Linux.

Si tengo una versión actualizada de Linux, simplemente puedo hacer:

sudo apt-get install chkrootkit

y ejecutarlo con:

sudo chkrootkit

Si en cambio tuviese alguna versión más antigua que no cuente con el paquete actualizado, habré de descargar su código fuente, compilarlo y ejecutarlo. Para todo ello podremos utilizar la terminal. Abrimos una con Ctrl+Alt+T e ingresamos:

cd ~/Descargas/
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

tar xvzf chrootkit.tar.gz

Y luego lo compilamos con:

cd Descargas/chkrootkit-0.52/
make sense
sudo ./chkrootkit

También podría probar con rkhunter, otra aplicación del mismo estilo:

sudo apt-get install rkhunter

A continuación será práctico actualizarlo con la orden:

sudo rkhunter --update

Y le daremos ejecución con:

sudo rkhunter --check


Esto ejecutará una serie de tests, que nos permitirán alertar de ciertos peligros del sistema (si existiesen).

Una vez terminados, podremos ver el resultado en un log con el comando:

sudo less /var/log/rkhunter.log

Este nos advertirá las amenazas y los recaudos que podremos tomar (de ser necesario) para incrementar la seguridad al conducir nuestro sistema Justicialista.