Cónoceme

[Seguridad] [Apache]Como saber si estan Atancando Apache o Base datos MySQL.[MySQL]

Como saber si estan Atancando Apache o Base datos MySQL


Se me ocurrre que primero deberias de analizar si nuestro servidor es victima de algun rootkit. Pero que es un rootkit?

Un rootkit es un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa “root” que significa raíz (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa “kit” que significa conjunto de herramientas (en referencia a los componentes de software que implementan este programa). El término “rootkit” tiene connotaciones negativas ya que se lo asocia al malware.

Típicamente, un atacante instala un rootkit en una computadora después de primero haber obtenido un acceso al nivel raíz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contraseña (ya sea por crackeo de la encriptación o por ingeniería social). Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización. Pese a que los rootktis pueden servir con muchos fines, han ganado notoriedad fundamentalmente como malware, escondiendo programas que se apropian de los recursos de las computadoras o que roban contraseñas sin el conocimiento de los administradores y de los usuarios de los sistemas afectados. Los rootkits pueden estar dirigidos al firmware, al hipervisor, al núcleo, ó , más comúnmente, a los programas del usuario.

Fuente: http://es.wikipedia.org/wiki/Rootkit

Que herramientas puedo usar para detectar rootkits?
  • rkhunter.
  • chkrootkit.

chkrootkit.-

Es muy bueno para encontrar de rootkits, verifica localmente si tenemos alguna anomalia.
Instalación:

#> wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
#> tar xvzf chkrootkit.tar.gz
#> cd chkrootkit     (o el directorio donde se descomprimio)
#> make sense        (compilamos)


Una ves finalizada ejecutamos:

#> ./chkrootkit

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected


... 

Para guardar el scaneo en un archivo podemos ejecutar lo siguiente:

#> ./chkrootkit >  miscaneo.txt

rkhunter.-

Es un analizador de rootkits mucho más completo y potente que chkrootkit, es ideal recomendado para servidores.

Algunos características de scaneo:

  • Comparación de hashes MD5.
  • Busca por archivos comunes usados por rootkits.
  • Permisos equivocados para binarios.
  • Busca por cadenas de texto sospechosoas en módulos LKM (Loadable Kernel Modules) y KLD (Kernel Loadable Device).
  • Busca por archivos ocultos.
  • Opciones de escaneo dentro de archivos binarios y planos.
Decarga:  http://ufpr.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.0/rkhunter-1.4.0.tar.gz

#> tar xvzf rkhunter-1.4.0.tar.gz
#> cd rkhunter                       (directorio donde se ha descomprimido)

Para ver las opciones de la instalacion ejecutamos lo siguiente:

#> ./installer.sh --layout default --show

PREFIX:             /usr/local
Application:        /usr/local/bin
Configuration file: /etc
Documents:          /usr/local/share/doc/rkhunter-1.4.0
Man page:           /usr/local/share/man/man8
Scripts:            /usr/local/lib/rkhunter/scripts
Databases:          /var/lib/rkhunter/db
Temporary files:    /var/lib/rkhunter/tmp

Para ver las empezar a instalar ejecutamos lo siguiente:

#> ./installer.sh --layout default --install

Una vez instalado lo ejecutamos de la siguiente manera:

#> rkhunter -c

[ Rootkit Hunter version 1.4.0 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                      [ None found ]
    Checking for preload file                                    [ Not found ]
    Checking LD_LIBRARY_PATH variable          [ Not found ]

  Performing file properties checks
    Checking for prerequisites                                  [ OK ]
    /bin/awk                                                              [ OK ]
    /bin/basename                                                     [ OK ]
    /bin/bash                                                             [ OK ]
...

Si queremos un scaneo mas profundo y guardar en un archivo txt  ejecutamos:

#> rkhunter -c --sk --logfile /root/miscaneo.txt

Para ver la lista de pruebas que podemos realizar ejecutamos:

#> rkhunter --list

0 comentarios: