Seguridad en linux con chkrootkit

www.onlinetis.com
 

¿Qué es Chkrootkit?

Chkrootkit (acrónimo de "Check Rootkit") es una herramienta de software de consola, de código abierto, diseñada para escanear sistemas operativos de tipo Unix (como Linux, BSD y macOS) en busca de rootkits conocidos y otro tipo de malware como troyanos y backdoors. Un rootkit es un conjunto de herramientas de software que permite a un atacante mantener el acceso y control de un sistema, ocultando su presencia y sus actividades. 👻

La herramienta realiza varias pruebas para detectar anomalías, como la búsqueda de archivos binarios del sistema que han sido modificados por un rootkit, el escaneo de puertos de red inusuales y la revisión de archivos y directorios ocultos.

Cómo usar Chkrootkit

Instalación

Chkrootkit no suele venir preinstalado en la mayoría de las distribuciones de Linux, pero es fácil de instalar. Dependiendo de tu distribución, puedes usar los siguientes comandos:

  • En sistemas basados en Debian/Ubuntu:

    sudo apt-get install chkrootkit

  • En sistemas basados en Red Hat/CentOS:

    sudo yum install chkrootkit

Escaneo Básico

Para realizar un escaneo básico de tu sistema, simplemente ejecuta el comando con privilegios de superusuario (root):

sudo chkrootkit

El escaneo puede tomar varios minutos, durante los cuales verás una lista de verificaciones. La mayoría de los resultados mostrarán [ OK ] si no se encuentra nada sospechoso.

Opciones Comunes

Aunque un escaneo básico es suficiente en la mayoría de los casos, chkrootkit ofrece algunas opciones para personalizar su uso:

  • **-q**: (quiet) Muestra solo los resultados donde se encontró una posible amenaza. Esto es útil para ver un informe más conciso y evitar el exceso de información.

    sudo chkrootkit -q

  • **-r**: (recursive) Escanea directorios de forma recursiva. Útil si quieres escanear una ubicación específica, por ejemplo:

    sudo chkrootkit -r /home/usuario/descargas

  • **-h**: Muestra la ayuda y la lista completa de opciones.

Interpretación de los Resultados

Es importante saber que chkrootkit puede generar falsos positivos (advertencias que no son una infección real). Si el programa marca un archivo como [ Warning ] o [ Infected ], no entres en pánico. 😱 Investiga más a fondo para confirmar si se trata de un problema real o no. Generalmente, una advertencia significa que el archivo analizado tiene características que coinciden con algo en la base de datos de chkrootkit, pero no siempre indica una infección.

Chkrootkit vs. Rkhunter

Chkrootkit y Rkhunter son dos herramientas complementarias que a menudo se usan juntas para obtener una mejor cobertura de seguridad. Mientras que chkrootkit se centra en un escaneo rápido y directo, buscando signos de rootkits conocidos, rkhunter (Rootkit Hunter) realiza un análisis más exhaustivo, revisando los permisos de los archivos, buscando archivos ocultos, y comparando sumas de verificación (checksums) de los archivos del sistema. Usar ambas herramientas ofrece una defensa más robusta.

Location: España

Entradas populares de este blog

Ciberseguridad y hacking con Whatweb

Imagen
www.onlinetis.com WhatWeb es una herramienta de código abierto para realizar fingerprinting o huella digital de sitios web . Su principal función es identificar las tecnologías, aplicaciones, servidores y otras configuraciones que se utilizan en una página web. Es muy popular en el ámbito de la ciberseguridad, especialmente en la fase de reconocimiento de una auditoría de seguridad o un test de penetración. ¿Cómo funciona WhatWeb? WhatWeb opera analizando una página web en busca de "firmas" o patrones que revelan la tecnología subyacente. En lugar de ser un escáner de vulnerabilidades completo, se centra en la recopilación de información. Para ello, examina diversos elementos del sitio web, incluyendo: Encabezados HTTP : Analiza las respuestas del servidor para identificar el tipo de servidor web (como Apache o Nginx), el lenguaje de programación (PHP, ASP.NET), o la versión. Código HTML y JavaScript : Busca cadenas de texto, nombres de archivos, comentarios o scripts especí...
LEER MAS »

Como robar contraseñas haciendo un phishing web

Imagen
  www.onlinetis.com Evilginx es una herramienta de phishing de tipo man-in-the-middle (MitM) diseñada para interceptar y robar credenciales de usuario, incluyendo las de sitios web que utilizan autenticación de doble factor (2FA). Su principal objetivo es engañar a las víctimas para que introduzcan sus credenciales en un sitio web falso que parece legítimo. ¿Cómo funciona Evilginx? Evilginx actúa como un proxy inverso. Esto significa que se coloca entre la víctima y el sitio web real que la víctima intenta visitar. Aquí te explicamos los pasos clave de su funcionamiento: Atracción de la víctima : El atacante envía un enlace a la víctima que la dirige al sitio de phishing, el cual está alojado en el servidor donde se ejecuta Evilginx. El dominio de este sitio suele ser muy similar al del sitio web real para no levantar sospechas. Proxy inverso : Cuando la víctima accede al sitio de phishing, Evilginx no solo le presenta una copia idéntica del sitio web real, sino que también red...
LEER MAS »

Arsenal software hacking NFC

Imagen
  www.onlinetis.com Arsenal software hacking NFC Kali Linux incluye varias herramientas especializadas para la auditoría y "hacking" de redes y dispositivos NFC. Estas herramientas están diseñadas para interactuar con las etiquetas y tarjetas NFC para realizar análisis de seguridad, como leer, escribir o clonar datos. Herramientas principales libnfc : Es la biblioteca fundamental que proporciona las funciones básicas para interactuar con dispositivos NFC. Es la base para muchas otras herramientas. Permite listar, leer y escribir en tags NFC. Los comandos más comunes son: nfc-list : Lista los dispositivos y tarjetas NFC conectados. nfc-mfclassic : Utilidad para leer y escribir en tarjetas MIFARE Classic , que son comunes en sistemas de transporte y control de acceso. nfc-mfultralight : Similar al anterior, pero para tarjetas MIFARE Ultralight . mfoc (Mifare Offline Cracker) : Esta es una herramienta crucial para el "hacking" de tarjetas MIFARE Classic. Explota una vu...
LEER MAS »