Cómo chequear nuestro sistema CentOS contra intrusiones?

Imagen de Epe

Bueno, aunque siempre es bueno tener actualizado nuestro CentOS o cualquier linux que tengamos con los últimos paquetes y parches que el proveedor nos dé, a veces es bueno quitarse la duda.

Existe una aplicación llamara rkhunter muy interesante y útil para revisar diversos binarios y directorios del sistema para detectar una intrusión conocida.

Por supuesto no es tan exacta como el tripwire, pero seguro ayuda mucho para realizar revisiones rápidas.

El rkhunter puede ser bajado del sitio www.rootkit.nl aunque prefiero instalar el rpm de karan que siempre está actualizado.


yum install rkhunter
Setting up Install Process
Setting up repositories
Reading repository metadata in from local files
Excluding Packages from CentOS-4 - Plus
Finished
Parsing package install arguments
Resolving Dependencies
--> Populating transaction set with selected packages. Please wait.
---> Downloading header for rkhunter to pack into transaction set.
rkhunter-1.2.8-2.el4.kb.n 100% |=========================| 10 kB 00:00
---> Package rkhunter.noarch 0:1.2.8-2.el4.kb set to be updated
--> Running transaction check

Dependencies Resolved

=============================================================================
Package Arch Version Repository Size
=============================================================================
Installing:
rkhunter noarch 1.2.8-2.el4.kb kbs-CentOS-Extras 120 k

Transaction Summary
=============================================================================
Install 1 Package(s)
Update 0 Package(s)
Remove 0 Package(s)
Total download size: 120 k
Is this ok [y/N]: y
Downloading Packages:
(1/1): rkhunter-1.2.8-2.e 100% |=========================| 120 kB 00:02
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Installing: rkhunter ######################### [1/1]

Installed: rkhunter.noarch 0:1.2.8-2.el4.kb
Complete!

Ahora, una vez instalado, sugiero que la primera acción sea actualizar la BD de rootkits que nuestro rkhunter detecta:


rkhunter --update

Running rkhunter updater... Thu, 27 Apr 2006 14:18:27 -0500

Mirrorfile /var/rkhunter/db/mirrors.dat rotated
Using mirror http://www.rootkit.nl/rkhunter
[DB] Mirror file : Update available
Action: Database updated (current version: 2005050700, new version 2006041300)[DB] MD5 hashes system binaries : Update available
Action: Database updated (current version: 2006021400, new version 2006022800)[DB] Operating System information : Update available
Action: Database updated (current version: 2005102800, new version 2006041100)[DB] MD5 blacklisted tools/binaries : Up to date
[DB] Known good program versions : Update available
Action: Database updated (current version: 2006021400, new version 2006031400)[DB] Known bad program versions : Update available
Action: Database updated (current version: 2006021400, new version 2006031400)

Finished rkhunter updater.. Thu, 27 Apr 2006 14:18:48 -0500
Ready.

En efecto algunos rootkits cambian con el tiempo o nacen nuevos, así que con tener la BD actualizada mejoramos la posibilidad de detectar cualquier problema.

Una vez actualizada, procedemos a chequear nuestro sistema:


rkhunter -c

Correrá por un buen tiempo y nos informará de cualquier problema que detecte. Es bueno siempre correrlo de vez en cuando en nuestros sistemas para detectar rápidamente cualquier evento que haya sucedido.

Una vez se detecte la intrusión, debemos aplicar lógica y sentido común para corregirla, aunque lo normal es que si un sistema ha sido comprometido debemos:
1- respaldar la información si no la teníamos respaldada
2- determinar desde dónde, cómo y hasta dónde llegó la intrusión
3- reinstalar el sistema tomando las medidas correctivas de los problemas detectados en el punto 2 para que no vuelva a repetirse el problema.

Es importante los puntos 2 y 3, muchas personas no detectan los problemas, reinstalan y posteriormente vuelven a ser atacados.

saludos!
epe