¿Cómo detectar rootkits en Linux y proteger tu servidor?

Dentro de la red se pueden encontrar una gran variedad de malware y elementos maliciosos que pueden atacar a tu sistema operativo y por ello es importante que estés atento a ellos.

Cada uno puede suponer un tipo de riesgo distinto, por lo que es fundamental conocer las características de cada uno y prevenir los posibles ataques de los mismos.

Entre ellos, hay que reconocer la presencia de los rootkits, que suelen entrar en los sistemas operativos para tener control del mismo.

Así que, para ayudarte a evitar que cualquier intruso pueda acceder sin permiso a tu sistema operativo, te explicaremos cómo detectar rootkits en Linux.

De esa manera, si trabajas con este sistema operativo, podrás estar preparado para eliminarlos a tiempo.

¿Qué son los rootkits en Linux?

Antes de avanzar en el tema, es importante iniciar por definir qué son los rootkits y por qué resultan tan peligrosos.

Se trata de un tipo de malware malicioso con el que un atacante puede acceder a un sistema operativo o software sin hacerse notar y les da la oportunidad de tener el control de los mismos.

Esto lo logra porque tiene la capacidad de introducirse y camuflarse entre los archivos del dispositivo, por lo que puede pasar desapercibido.

Cuando un rootkit accede, puede tener control de todo el sistema operativo y afectar a sus elementos como el hardware, software o firmware.

Los mismos logran ocultarse dentro de las capas más bajas del sistema para que sean indetectables ante los análisis de virus comunes.

Este término viene de la unión de las palabras Root, que se utiliza para referirse al usuario que tiene más control dentro de un sistema operativo y Kit que se refiere a las herramientas del software que forman parte del rootkit.

En general, este es un tipo de malware que puede afectar a cualquier tipo de sistema operativo, pero cuando se trata de Linux, resulta un poco más sencillo detectar su presencia antes de que sea demasiado tarde.

Tipos de rootkits

Ahora bien, como si este tipo de malware no fuera por sí mismo bastante negativo, existen distintos tipos de rootkits y cada uno varía en función del componente al que pueden acceder.

Por lo tanto, hay que estar atento de cómo puede atacar cada uno de ellos:

Rootkits para hardware

Este tipo de malware tiene la capacidad de infectar de forma directa el disco duro o la BIOS de tu ordenador. Por lo general, no alteran el sistema, pero sí se oculta de manera que pueden registrar todo lo que el usuario hace.

Tanto así, que incluso pueden vigilar todo lo que escribes o lo que haces dentro de internet.

Sin duda, esto supone un gran riesgo, porque podrían identificar con facilidad tus datos de acceso al banco o de tus correos electrónicos.

Rootkits para memoria

Tal y como su nombre lo indica, este es un tipo de rootkit que se introduce y oculta dentro de la memoria RAM del dispositivo. De esa manera, es capaz de realizar acciones en un segundo plano.

Además, comienzan a hacer vida dentro de la memoria, pero sin utilizar un código malicioso permanente. Esto quiere decir que, incluso si se reinicia el sistema, no desaparecerán.

No obstante, debido a la forma en la que trabajan, no suelen durar mucho tiempo dentro de los sistemas.

Rootkits para el inicio del SO

Por otro lado, se encuentra el tipo de rootkit que es capaz de ingresar al sistema de cargado del sistema operativo, que como bien sabrás, es el que se activa cada vez que enciendes tu ordenador.

En este tipo de caso, lo que hacen los rootkits es reemplazar el cargador original por uno distinto por completo, pero sin que te des cuenta.

Debido a esto, es posible que comiencen a registrar las actividades incluso cuando el usuario no ha encendido su ordenador, por lo que tienen más tiempo de revisar todo lo que está almacenado.

Rootkits para aplicaciones de ordenador

En el siguiente lugar se encuentran los rootkits para aplicaciones, que se internan en los archivos de estas y los cambian por otros. Esto hace que cambien las funciones de algunas de las aplicaciones.

Por lo general, lo hacen con las aplicaciones que ya vienen instaladas con el sistema operativo y que son las más básicas de todas.

Así, cada vez que el usuario utiliza alguna de ellas, le brinda al atacante la oportunidad de entrar en el resto del sistema.

Rootkits virtuales

Cuando se habla de los rootkits virtuales, se trata de un tipo de malware que se instala por debajo del sistema operativo. Esto hace que el mismo funcione a través de una máquina virtual.

De esa manera, el hacker es capaz de interceptar todas las interacciones que se realizan en el hardware del sistema.

En vista de que no necesitan modificar el sistema operativo como tal, se convierten en un malware que resulta difícil de detectar a simple vista.

Rootkits de núcleo

Por último, pero no menos importante, se encuentran los rootkits de núcleo. En este caso, sí estamos ante un malware que ataca de forma directa el núcleo del sistema operativo.

Este es el tipo de rootkit más peligroso de todos, porque el atacante podría tener acceso directo a todos los archivos almacenados dentro del ordenador e introducir cualquier tipo de código malicioso.

Signos de que tu sistema operativo ha sido afectado por un rootkit

Aunque el malware se caracterice por pasar desapercibido, existen algunas señales claras que pueden desvelar la presencia del mismo. Por lo tanto, se recomienda que estés atento a este tipo de incidentes:

Fallas en el rendimiento

Este tipo de problema lo podrás detectar con facilidad, porque implica que tu ordenador comience a trabajar de forma mucho más lenta y haya poca fluidez en las tareas que realizas.

De igual forma, puede ser que el ordenador deje de responder a tus solicitudes o que ignore por completo las órdenes que les has dado.  

Pantallazo azul

Los pantallazos azules aparecen cuando intentas encender tu ordenador y, en vez de iniciarse con normalidad, aparece una pantalla azul y te indica que ha ocurrido un error.

Si esto pasa con frecuencia o sucede incluso luego de que el dispositivo está encendido, puede ser una señal de una falla por rootkit.

Comportamientos extraños al navegar

En vista de que los rootkits también pueden registrar las actividades que realizas por medio de internet, es posible que notes algunos comportamientos extraños en el navegador.

Por ejemplo, que te dirija a una página distinta a la que querías ir o que la interfaz del sitio web deje de funcionar de un momento a otro.

Cambios no autorizados en el sistema operativo

Por último, es posible que el atacante realice algún tipo de cambio importante dentro de tu sistema operativo y te darás cuenta del mismo porque no estará autorizado por tu parte.

Estas señales son muy fáciles de identificar, porque pueden pasar cosas extrañas como que tu fondo de pantalla se haya cambiado solo o que la hora que indica el ordenador no es la correcta.

¿Cómo detectar la presencia de rootkits en Linux?

Ahora bien, a pesar de que en otros tipos de sistemas operativos resulte un poco más complicado detectar la presencia de un rootkit, lo cierto es que si utilizas Linux hay algunas herramientas a las que puedes recurrir.

Por un lado, está chkrootkit, que es una herramienta capaz de buscar en profundidad la presencia de cualquier tipo de malware, troyano o código malicioso.

Si bien no se encuentra instalada de forma nativa en Linux, se puede instalar con el comando: sudo apt-get install chkrootkit.

Una vez que ya se encuentre dentro del sistema operativo, puede ejecutar el siguiente comando: ./chkrootkit. De esa manera, se iniciará de forma automática la búsqueda de posibles rootkits dentro de Linux.

Otra de las opciones a las que puedes recurrir es rkhunter, que funciona a través de líneas de comandos. Para su respectiva instalación solo tienes que introducir este comando: $ sudo apt-get install rkhunter.

Cuando se haya completado su instalación puedes utilizar el comando

$ rkhunter -c

para que inicie con la búsqueda de los rootkits.

Ambos tipos de herramientas han demostrado que funcionan de manera efectiva dentro del sistema operativo de Linux.  

Programas para eliminar rootkits de Linux

Ahora bien, en caso de que se llegue a identificar la presencia de un rootkit oculto dentro de Linux, tienes que recurrir a otros programas para eliminarlos y mantener limpio tu sistema operativo.

Para actuar de forma efectiva en la eliminación de este malware, los programas más eficientes a los que puedes recurrir son:

Lynis

Esta es una herramienta potente que es capaz de ejecutar una auditoría completa en los sistemas de seguridad de Linux y lo hace con mucho detalle.

Por ello, es una opción ideal si quieres detectar incluso los problemas de seguridad más ocultos de todos, como es el caso de los rootkits. Una vez que los encuentre, se encargará de eliminarlos por completo.

Avast Rootkit Scanner

Se trata de una versión del antivirus de Avast que se centra por completo en la identificación y erradicación de los rootkits.

Gracias a su gran potencia, puede reconocer la presencia de los rootkits sin importar su tipo o qué tan ocultos se encuentren dentro del sistema.

Además, si identifica la presencia de alguno, esta herramienta lo eliminará de forma automática.

Malware Bytes

En el siguiente lugar se encuentra Malware Bytes, se trata de una herramienta poderosa que realiza análisis profundos en el sistema operativo de Linux.

Además, al instalarlo en tu sistema operativo, te alertará sobre cualquier posible riesgo de rootkit incluso antes de que alguno afecte tu ordenador.

Sophos

Si buscas una herramienta que trabaje de manera rápida, eficiente y automática, Sophos es una gran alternativa.

Su forma de trabajar hace posible que examine por completo todo lo que se encuentra dentro del dispositivo y, en cuanto note algo fuera de lo común, lo eliminará de forma automática.

Malware Fox

Para finalizar, también puedes recurrir a Malware Fox. Se trata de una herramienta que utiliza una biblioteca de rootkits basada en la nube para comprobar si en el sistema operativo de Linux hay alguno de ellos.

Gracias a esto, se mantiene actualizada con respecto a los riesgos de malware más recientes para así garantizar resultados efectivos en su análisis.

Consejos para evitar los rootkits

Por supuesto, si quieres evitar que este tipo de malware tome control de tu sistema operativo, existen algunos consejos que puedes seguir y que te ayudarán a elevar tu seguridad de forma efectiva. Entre los más efectivos están:

• Mantener el software del sistema operativo actualizado.

• Instala y actualiza con frecuencia un antivirus potente que ofrezca una seguridad robusta.

• No descargues archivos de fuentes dudosas.

• No caigas en estafas de phishing.

• Infórmate sobre las técnicas actuales de los ciberdelincuentes.

• Vigila de cerca el rendimiento de tu sistema operativo.

En resumen

Los rootkits en Linux son uno de los tipos de riesgos cibernéticos más frecuentes y ahora que ya sabes cómo detectarlo, estás preparado para eliminarlos del sistema.

Además, con los consejos que te hemos dado, también podrás evitar que este malware ingrese a tu sistema.

De esa manera, podrás gozar de un mayor nivel de seguridad y reducir tus preocupaciones.