Saltar la navegación

Ejemplo de chequeo de la integridad

Rootkit hunter (paquete rkhunter) es una herramientas GNU/Linux que entre otras tareas puede hacer lo siguiente: examinar los permisos de los ficheros ejecutables del sistema, buscar rootkits conocidos rastreando ficheros ocultos, realizar la comprobación de integridad de muchos archivos del sistema, etc.

Un rootkit es un programa que suplanta a los ficheros binarios ejecutables del sistema para ocultarse mejor, pudiendo servir de puerta trasera o backdoor para remotamente comandar acciones o extraer información sensible.

# aptitude install rkhunter
# rkhunter --check
[ Rootkit Hunter version 1.4.0 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/cron                                           [ OK ]
.......

Todos los resultados los podremos consultar posteriormente en el fichero /var/log/rkhunter.log.

En el archivo /etc/default/rkhunter se definen los parámentros de rkhunter, y entre ellos hay uno que especifica que las actualizaciones de la base de datos sean semanales. No obstante, podemos actualizar la base de datos en el momento que queramos con el siguiente comando:

# rkhunter --propupd --update

La página web del proyecto Rootkit hunter es: http://www.rootkit.nl/projects/rootkit_hunter.html.

En Windows, el comando SFC comprueba la integridad de todos los archivos del sistema operativo y si encuentra alguno dañado lo sustituye por una copia del original, que busca en una base de datos creada durante la instalación del sistema llamada DLLCACHE, y de no estar disponible, solicita que insertemos el disco de instalación, lo extrae del mismo y lo reemplaza.

SFC funciona solo mediante la línea de comandos.

Comando SFC

Algunos de los parámetros del comando SFC son:

/SCANNOW Examina la integridad de todos los archivos protegidos del sistema operativo y repara los archivos con problemas siempre que sea posible.
/VERIFYONLY 
Examina la integridad de todos los archivos protegidos del sistema, pero no realiza ninguna reparación.
/SCANFILE <archivo> Examina la integridad del archivo al que se hace referencia y lo repara si se detectan problemas. Debe especificarse la ruta de acceso completa del archivo.
/VERIFYFILE <archivo> Comprueba la integridad del archivo (ruta completa), pero no realiza ninguna reparación.