¿Cómo saber si nuestro servidor Linux ha sido hackeado?

A pesar de las leyendas urbanas de que Linux es super seguro, o es muchísimo más difícil de hackear que un Windows, lo cierto es que dado el tamaño de Internet la probabilidad de que nuestro servidor sea atacado es mucho mayor, que hace algunos años atras. Además es conveniente recordar que una computadoras es tan confiable cómo el usuario que la administra  lo es.

Imagine que una computadora con Linux es cómo un auto, por más que le digan que necesita poco mantenimiento, si Ud. piensa que eso significa, ir a la gasolinera para poner combustible, pues no tardará mucho tiempo para que este en problemas. Si no revisa la presión de aire de las llantas, el nivel de aceite, y otros detalles, su carro no tardará en arruinarce.

Una computadora es también un activo valioso para muchas personas, y el que instale Linux como OS, no le garantiza que no sea victima de ataques, que pueden ser o no exitosos, en función de las medidas de seguridad que Ud. tome, por ejemplo actualice periódicamente su Linux, y aplique los parches más recientes a los programas que use con mayor frecuencia, y además revise periódicamente si es que no se ha colado alguien en su server, para ello existen dos utilitarios sobre los caules le dire cómo  instalarlos y usarlos.  El primero se llama  chkrootkit y el otro rkhunter.

chkrootkit: este programa detecta si en nuestro sistema ha sido instalado un "rootkit", que es un conjunto de programas que habilitan la administración remota del equipo, sin que el encargado del mismo se de cuenta.

Si cuenta con Debian o Ubuntu, instalarlo es tan fácil cómo tipear estos comandos:

Debian: apt-get install chkrootkit

Ubuntu: sudo apt-get install chkrootkit

Si Ud. no usa Debian o Ubuntu, no le queda más que instalar desde las fuentes, para ello debe de ir a la página web de chkrootkit, descargarlo e instalarlo en su sistema.

Ejecutar el programa es tan simple cómo invocarlo desde el prompt con privilegios de root, y el resultado sera un reporte que nos indica si nuestro sistema ha sido hackeado.

rkhunter: su nombre signigica casador de rootkits (rk = rootkit, hunter = casador), al igual que chkrootkit busca si nuestro sistema ha sido exitosamente hackeado y alguien ha instalado un rootkit o algun trojano, rkhunter debe ser descargado e intalado a mano, aquí el procedimiento a seguir cómo usuario root:

# wget http://superb-east.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.3.0.tar.gz
# tar xvfz rkhunter-1.3.0.tar.gz
# cd rkhunter/
# ./installer.sh –layout /usr/local –install
# rkhunter –update

Con los pasos anteriores rkhunter queda instalado y podemos efectuar el test de nuestro equipo cada vez que queramos con el siguiente comando (siempre como usuario root):

# rkhunter -c

Recuerde periódicamente ejecutar el comando "rkhunter –update", para asegurarce de que esta usando las últimas firmas de rootkits, troyanos o gusanos, sería el equivalente a actualizar los antivirus para los windows.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.