{"id":8087,"date":"2022-04-28T11:43:34","date_gmt":"2022-04-28T17:43:34","guid":{"rendered":"https:\/\/ugit.siua.ac.cr\/?p=8087"},"modified":"2023-08-04T06:18:44","modified_gmt":"2023-08-04T12:18:44","slug":"estandar-de-seguridad-v3-ataque-conti","status":"publish","type":"post","link":"https:\/\/sada.services\/?p=8087","title":{"rendered":"Est\u00e1ndar de Seguridad V3: ataque CONTI"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Medidas a Servidor<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Modificaci\u00f3n de usuarios<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Modificamos la contrase\u00f1a del usuario root de CA3 a A0<\/li>\n\n\n\n<li>Ingresamos como el usuario root<\/li>\n\n\n\n<li>Ejecutamos el comando<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>passwd\n\n#Resultado\nIntroduzca la nueva contrase\u00f1a de UNIX: A0\nVuelva a escribir la nueva contrase\u00f1a de UNIX: A0\npasswd: contrase\u00f1a actualizada correctamente\n<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Eliminamos el usuario ugit<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>userdel -r ugit<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verificamos que no existe el usuario ugit<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>less \/etc\/passwd<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Crea el usuario orion<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>adduser orion\n\n# Resultado\nA\u00f1adiendo el usuario `orion' ...\nA\u00f1adiendo el nuevo grupo `orion' (1000) ...\nA\u00f1adiendo el nuevo usuario `orion' (1000) con grupo `orion' ...\nCreando el directorio personal `\/home\/orion' ...\nCopiando los ficheros desde `\/etc\/skel' ...\nIntroduzca la nueva contrase\u00f1a de UNIX: V1\nVuelva a escribir la nueva contrase\u00f1a de UNIX: V1\npasswd: contrase\u00f1a actualizada correctamente\nCambiando la informaci\u00f3n de usuario para orion\nIntroduzca el nuevo valor, o pulse INTRO para usar el valor predeterminado\n\tNombre completo &#91;]: UGIT\n\tN\u00famero de habitaci\u00f3n &#91;]: \n\tTel\u00e9fono del trabajo &#91;]: \n\tTel\u00e9fono de casa &#91;]: \n\tOtro &#91;]: \n\u00bfEs correcta la informaci\u00f3n? &#91;S\/n] <\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>A\u00f1adimos el usuario al grupo \u00abroot\u00bb<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>adduser orion root\n\n# Resultado\nA\u00f1adiendo al usuario `orion' al grupo `root' ...\nA\u00f1adiendo al usuario orion al grupo root\nHecho.<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Modificamos el acceso de ssh para dar permiso a orion<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/ssh\/sshd_config\n\n# Modificamos la linea\nAllowUsers root ugit\nX\nAllowUsers root orion\n\n# Reiniciamos el servicio\n\/etc\/init.d\/ssh restart<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verificamos que podemos ingresar con ambos usuarios<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>ssh root@10.20.200.15 -p 44 A0\nssh orion@10.20.200.15 -p 44 V1<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\">Actualizaci\u00f3n del sistema<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si es basado en debian<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>apt update\napt upgrade\napt dist-upgrade\napt autoremove<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\">Medidas de Seguridad<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Modificaci\u00f3n de envi\u00f3 de correo interuniversitariadealajuela@gmail<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Abrimos el archivo<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/postfix\/sasl_passwd<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si existe el archivo modificamos la contrase\u00f1a quedando as\u00ed<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>&#91;smtp.gmail.com]:587    interuniversitariadealajuela@gmail.com:SC2<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>generamos los postmap<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>chmod 600 \/etc\/postfix\/sasl_passwd \nchmod 600 \/etc\/postfix\/generic \npostmap \/etc\/postfix\/sasl_passwd \npostmap \/etc\/postfix\/generic<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Regeneramos los certificados <\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>cd \/etc\/postfix\/certs\/\nopenssl dsaparam -out dsaparam.pem 2048\nopenssl req -x509 -nodes -days 3650 -newkey dsa:dsaparam.pem -out mycert.pem -keyout mykey.pem<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Resultado<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>Generating a 2048 bit DSA private key\nwriting new private key to 'mykey.pem'\n-----\nYou are about to be asked to enter information that will be incorporated\ninto your certificate request.\nWhat you are about to enter is what is called a Distinguished Name or a DN.\nThere are quite a few fields but you can leave some blank\nFor some fields there will be a default value,\nIf you enter '.', the field will be left blank.\n-----\nCountry Name (2 letter code) &#91;AU]:CR\nState or Province Name (full name) &#91;Some-State]:Alajuela\nLocality Name (eg, city) &#91;]:Alajuela\nOrganization Name (eg, company) &#91;Internet Widgits Pty Ltd]:SIUA\nOrganizational Unit Name (eg, section) &#91;]:UGIT\nCommon Name (e.g. server FQDN or YOUR name) &#91;]:UGIT\nEmail Address &#91;]:interuniversitariadealajuela@gmail.com<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Eliminamos la llave<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>rm dsaparam.pem<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Renovamos segundo certificado<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>ln -s mycert.pem CAcert.pem\nopenssl req -x509 -new -days 3650 -key \/etc\/postfix\/certs\/mykey.pem -out \/etc\/postfix\/certs\/mycert.pem<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Resultado<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>You are about to be asked to enter information that will be incorporated\ninto your certificate request.\nWhat you are about to enter is what is called a Distinguished Name or a DN.\nThere are quite a few fields but you can leave some blank\nFor some fields there will be a default value,\nIf you enter '.', the field will be left blank.\n-----\nCountry Name (2 letter code) &#91;AU]:CR \nState or Province Name (full name) &#91;Some-State]:Alajuela\nLocality Name (eg, city) &#91;]:Alajuela\nOrganization Name (eg, company) &#91;Internet Widgits Pty Ltd]:SIUA\nOrganizational Unit Name (eg, section) &#91;]:UGIT\nCommon Name (e.g. server FQDN or YOUR name) &#91;]:UGIT\nEmail Address &#91;]:interuniversitariadealajuela@gmail.com<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Recargamos el servicio<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>\/etc\/init.d\/postfix reload<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Comprobamos el envi\u00f3 (DEBE VERIFICARSE)<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>echo \"Servidor: Zeus\" | mail -s \"Zeus\" gustavo.matamoros@gmail.com<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">Instalaci\u00f3n de clamav<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Instalamos el software<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>apt install clamav clamav-daemon<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Detenemos el servicio para actualizar la base de datos<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>systemctl stop clamav-freshclam.service<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Modificamos la configuraci\u00f3n para que vea el servidor local de clamav<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/clamav\/freshclam.conf<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Comentamos las lineas<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>DatabaseMirror db.local.clamav.net\nDatabaseMirror database.clamav.net<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Agregamos al final<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>DatabaseMirror clamav.siua.ac.cr\nPrivateMirror clamav.siua.ac.cr\nDatabaseCustomURL http:\/\/clamav.siua.ac.cr\/main.cvd\nDatabaseCustomURL http:\/\/clamav.siua.ac.cr\/daily.cvd\nDatabaseCustomURL http:\/\/clamav.siua.ac.cr\/bytecode.cvd\n#DatabaseCustomURL http:\/\/clamav.siua.ac.cr\/safebrowsing.cvd<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Actualizamos la base de datos<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo freshclam<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Establecemos que el servicio arranque con el sistema<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>systemctl enable clamav-freshclam<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Iniciamos el servicio<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>systemctl start clamav-freshclam<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>NOTA: El directorio \/sys de problemas de permisos pero como ning\u00fan cliente va acceder por tanto lo podemos excluir<\/li>\n\n\n\n<li>Escaneamos el sistema excluyendo sys<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>clamscan -ri --exclude-dir=\/sys\/ \/<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Donde:\n<ul class=\"wp-block-list\">\n<li>r: recursivo<\/li>\n\n\n\n<li>i: busque infecciones<\/li>\n\n\n\n<li>&#8211;exclude-dir: excluya el directorio<\/li>\n\n\n\n<li>\/ = cual directorio ra\u00edz<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Envi\u00f3 de correo por parte de clamav<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Vamos a configurar el escaneo autom\u00e1tico a las 11:30pm por parte de clamav<\/li>\n\n\n\n<li>Y vamos hacer que si detecta una infecci\u00f3n envi\u00e9 los archivos a cuarentena<\/li>\n\n\n\n<li>Primero debemos garantizar que el servidor puede enviar correos por la terminal con los pasos anteriores<\/li>\n\n\n\n<li>Creamos la carpeta de cuarentena dentro del directorio de root<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>mkdir \/root\/clamav<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Creamos las carpetas \u201ccuarentena\u201d y \u201clogs\u201d dentro de clamav<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>mkdir \/root\/clamav\/cuarentena\nmkdir \/root\/clamav\/logs<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Creamos el  script<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/usr\/local\/bin\/clamav.sh<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Agregamos el c\u00f3digo<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>#!\/bin\/bash\n# ClamAV_Scan_Script\n# Script que ejecuta un escaneo con ClamAV del dir o archivo seleccionado\n# editado del original en \"http:\/\/www.taringa.net\/comunidades\/ubuntuparataringeros\/1327480\/&#91;Tip]-Script-para-escanear-f\u00e1cilmente-con-ClamAV.html\"\n# -----------------------------------------------------------------------------\n# Crear la carpeta \"clamav\" dentro del directorio \"$HOME\" y dentro de la misma\n# crear las carpetas \"cuarentena\" y \"logs\" dentro de \"clamav\"\n# ----------------------------------------------------------------------------\n# Ubicar el Script en \"\/usr\/local\/bin\" y darle permisos de ejecucion\n# \"chmod +x \/usr\/local\/bin\/clamav\"\n# Ubicarlo en el \"crontab\" para su ejecucion el dia seleccionado\n# ---------------------------------------------------------------------------\n#\n# --Carpetas de Configuracion -- #\nclamfolder=\"clamav\"\nlogfolder=\"logs\"\ncuarentenafolder=\"cuarentena\"\nlogfile=\"clamscan-`date +%F_%T`.log\"\ndirs=\"\/ \" #directorios a verificar\nscan=\/usr\/bin\/clamscan\nuserhome=\"$HOME\"\nuser=`whoami`\n\n# -- Codigo de arranque -- #\necho \"ClamAV scan Iniciado el dia\" `date` \"por el usuario\" ${user} \"- Guardado como\" \\\n${userhome}\/${clamfolder}\/${logfolder}\/${logfile}\\ &gt; ${userhome}\/${clamfolder}\/${logfolder}\/${logfile}\n\necho \"Iniciando escaneo con ClamAV...\"\n$scan --infected --recursive --log=${userhome}\/${clamfolder}\/${logfolder}\/${logfile} \\\n--move=${userhome}\/${clamfolder}\/${cuarentenafolder} --exclude-dir=\/sys\/ $dirs\necho \"Finalizado escaneo con Clamav\" `date`<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le otorgamos permisos<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>chmod +x \/usr\/local\/bin\/clamav.sh<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Probamos el funcionamiento (Opcional)<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>. \/usr\/local\/bin\/clamav.sh<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ahora creamos una tarea crontab<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>crontab -e<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Agregamos<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>30 23 * * * \/usr\/local\/bin\/clamav.sh 2&gt;&amp;1 | tee \/root\/clamav\/output.txt | mail -s \"clamav: $(hostname -s)\" interuniversitariadealajuela@gmail.com<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">Instalaci\u00f3n de rkhunter<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Primero verificamos si lo tiene instalado <\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>rkhunter --update<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si lo tiene instalado y actualiza correctamente escanee el sistema como:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>rkhunter -c<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si lo tiene instalado y da el siguiente error<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>Invalid WEB_CMD configuration option: Relative pathname: \"\/bin\/false\"<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Abra el archivo <\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/rkhunter.conf<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Y modifique<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>UPDATE_MIRRORS=0\nX\nUPDATE_MIRRORS=1\n\nMIRRORS_MODE=1\nX\nMIRRORS_MODE=0\n\nWEB_CMD=\"\/bin\/false\"\nX\nWEB_CMD=\"\"<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Y proceda a actualizarlo<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>rkhunter --update<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Y luego verifique el sistema<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>rkhunter -c<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>S<strong>i no se encuentra instalado ejecute los siguientes pasos:<\/strong><\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Instalamos rkhunter&nbsp;que es un esc\u00e1ner que analiza y busca en nuestro ordenador, backdoors, exploits, sniffers y por supuesto rootkits, realizando diferentes pruebas a nuestro sistema.<\/li>\n\n\n\n<li>Ingresamos a tmp para que despu\u00e9s del siguiente reinicio se eliminen los archivos:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>cd \/tmp<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Descargamos el fichero:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>wget \/wp-content\/uploads\/2019\/09\/rkhunter-1.4.6.tar.gz<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Lo descomprimimos:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>tar -zxf rkhunter-1.4.6.tar.gz<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ingresamos a la carpeta:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>cd rkhunter-1.4.6<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Lo instalamos:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>.\/installer.sh --install<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Podemos verificar la versi\u00f3n:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>rkhunter --versioncheck<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Actualizamos la base de datos:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>rkhunter --update<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Crear el archivo rkhunter.dat<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>rkhunter --propupd<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ahora podemos verificar el sistema<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>rkhunter -c<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ahora creamos un cron mensual para que verifique nuestro sistema<\/li>\n\n\n\n<li>Creamos una archivo en:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/cron.monthly\/rkhunter.sh<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Agregamos<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>#!\/bin\/bash (  rkhunter --versioncheck  rkhunter --update  rkhunter -c --cronjob --report-warnings-only )| mail -a \"From: ataques@siua.ac.cr\" -s \"rkhunter: $(hostname -s)\"  \nataques@siua.ac.cr<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le damos permisos<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-preformatted\">chmod +x \/etc\/cron.monthly\/rkhunter.sh<\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">Chkrootkit<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>NOTA: si el servidor es un contenedor este programa no se debe instalar<\/li>\n\n\n\n<li>Primero verificamos si se encuentra instalado, para esto<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>chkrootkit -q<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si da el siguiente error<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>can't exec .\/strings-static,<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>ejecute <\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>apt remove chkrootkit\napt install chkrootkit\n\n# Vuelva a intentarlo\nchkrootkit -q<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si no se puede instalar a trav\u00e9s de los repositorio instalelo de forma manual con los siguientes comando:<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Programa que permite&nbsp;buscar rootkits<\/li>\n\n\n\n<li>Ingresamos a \/tmp para que los archivos sean eliminados despu\u00e9s de reiniciar<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>cd \/tmp<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Descargamos el archivo:&nbsp;<a href=\"\/wp-content\/uploads\/2019\/09\/chkrootkit.tar.gz\">chkrootkit053<\/a><\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>wget \/wp-content\/uploads\/2019\/09\/chkrootkit.tar.gz<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Lo descomprimimos:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>tar xvfz chkrootkit.tar.gz<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ingresamos a la carpeta:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>cd chkrootkit-0.53\/<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Lo&nbsp;compilamos:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>make sense<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Regresamos un nivel en la capeta:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>cd ..<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Movemos el contenido a \/usr\/local\/chkrootkit<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>mv chkrootkit-0.53\/ \/usr\/local\/chkrootkit<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ingresamos a la carpeta para verificar que existen los archivos<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>cd \/usr\/local\/chkrootkit\/<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Creamos una enlace simb\u00f3lico<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>ln -s \/usr\/local\/chkrootkit\/chkrootkit \/usr\/local\/bin\/chkrootkit<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verificamos el servidor:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>#Muestra todo la salida\nchkrootkit \n\n#Muestra solo las detecciones\nchkrootkit -q<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Creamos un cron que se ejecute todos los meses<\/li>\n\n\n\n<li>Ejecutamos:<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>crontab -e<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le agregamos el siguiente contenido<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>@monthly \/usr\/local\/chkrootkit\/chkrootkit -q | mail -s \"chkrootkit: $(hostname -s)\" \nataques@siua.ac.cr<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\">Verificaci\u00f3n de instalaci\u00f3n de logwatch fail2ban<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Debemos verificar que el servidor tiene instalado logwatch, para esto ejecutamos <\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code># Ejecutamos\nnano \/etc\/logwatch\/conf\/logwatch.conf\n\n# Verificamos que tenga la linea\nFormat = html<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Debemos verificar que tenemos instalado fail2ban, para esto<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code># Ejecutamos\nnano \/etc\/fail2ban\/jail.local\n\n# Verificar que tiene configurada la linea\nignoreip = 127.0.0.1 10.20.190.0\/24 10.20.200.0\/24 181.193.87.0\/28 201.237.206.56<\/code><\/pre>\n\n\n\n<p>d<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Verificaci\u00f3n de sistemas implementados<\/h2>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Medidas a Servidor Modificaci\u00f3n de usuarios Actualizaci\u00f3n del sistema Medidas de Seguridad Modificaci\u00f3n de envi\u00f3 de correo interuniversitariadealajuela@gmail Instalaci\u00f3n de clamav Envi\u00f3 de correo por parte de clamav Instalaci\u00f3n de rkhunter chmod +x \/etc\/cron.monthly\/rkhunter.sh Chkrootkit Verificaci\u00f3n de instalaci\u00f3n de logwatch fail2ban d Verificaci\u00f3n de sistemas implementados<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[395],"tags":[242],"class_list":["post-8087","post","type-post","status-publish","format-standard","hentry","category-seguridad","tag-seguridad"],"blocksy_meta":{"styles_descriptor":{"styles":{"desktop":"","tablet":"","mobile":""},"google_fonts":[],"version":6}},"_links":{"self":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/8087","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=8087"}],"version-history":[{"count":27,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/8087\/revisions"}],"predecessor-version":[{"id":15442,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/8087\/revisions\/15442"}],"wp:attachment":[{"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=8087"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=8087"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=8087"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}