¿Hay alguna forma de detectar rootkit / malware en los servidores de Linux? Mientras que para los usuarios de Windows, la forma más fácil es dejarlo para una aplicación antivirus / antimalware, pero cuando tiene una máquina Linux que ha estado usando durante mucho tiempo en un entorno hostil, ¿cómo puede estar seguro de que no está siendo hackeado? monitoreado y que sus datos no se vean comprometidos.
Le gustaría usar arranque medido , una técnica para verificar una cadena de confianza desde el BIOS. camino hacia el kernel. Una vez que se verifica el kernel, se puede usar una función llamada IMA , la Arquitectura de medición de integridad, que permite El kernel para verificar los ejecutables antes de que se ejecuten. Esto es similar a los verificadores de integridad básicos como AIDE , pero permite la prevención en tiempo real, no solo la detección después del hecho. El arranque medido requiere la presencia de un TPM, que tienen los sistemas más modernos.
Si un sistema ha estado funcionando durante mucho tiempo y puede estar contaminado, no existe una forma simple y efectiva de verificar si hay malware. Si bien algunas utilidades simples como unhide pueden detectar rootkits muy simples, un rootkit bien diseñado habrá enganchado el núcleo y podrá Evita efectivamente que cualquier herramienta de espacio de usuario lo detecte. En estos casos, deberá volcar la memoria del servidor en un hardware especializado y analizarla con un marco de análisis de memoria como Volatility .
Para el malware menos sofisticado que no utiliza los enganches del kernel para ocultarse del espacio del usuario, las técnicas forenses digitales tradicionales pueden funcionar bien. Una lista muy no exhaustiva de técnicas para detectar la manipulación a nivel de software de malware o intrusión puede incluir:
Comprobando registros vitales del sistema en busca de entradas sospechosas (idealmente desde una copia de seguridad sin conexión).
Analizar la actividad de la red para detectar conexiones salientes y entrantes no autorizadas.
Ver el árbol de procesos y los módulos cargados para buscar entidades inesperadas.
Obtener una lista de archivos setuid y setgid para buscar archivos sospechosos (por ejemplo, setuid sed ).
Comprobar que los números de inodo de los archivos críticos del sistema son secuenciales.
Recuerde, solo porque no encuentre nada sospechoso no significa que el malware no esté presente. El malware particularmente sofisticado puede ejecutarse en un contexto de administración del sistema que es invisible para el kernel, o cargarse en un dispositivo programable y compatible con DMA, como la GPU. Si el servicio es altamente sensible, debe hacer una reinstalación completa si el malware es una posibilidad real.