Unhide – Encontrando procesos ocultos en Gnu/linux y BSD

Recientemente  me a tocado limpiar mi computadora después de casi año y medio de tener
squeezy (“en testing”) ahora pasando a estable, he realizado una instalación desde cero;
Y buscando algunas herramientas que  permitan mejorar la seguridad en cuanto a LKMS
u otras técnicas de ocultación de Rootkits, algunas de ellas ya conocidas como
Rootkithunter, Lynis o tal como Samhain, etc. Que permiten conocer  a fondo que está
corriendo por ahí.
Unhide es una herramienta forense que permite descubrir procesos  y puertos TCP/UDP
abiertos.

Unhide is a forensic tool to find hidden processes and TCP/UDP ports by rootkits / LKMs or by another

hidden technique.

– Detecting hidden processes. Implements six techniques:

– Compare /proc vs /bin/ps output

– Compare info gathered from /bin/ps with info gathered by walking thru the procfs.

– Compare info gathered from /bin/ps with info gathered from syscalls (syscall scanning).

– Full PIDs space occupation (PIDs bruteforcing)

– Reverse search, verify that all thread seen by ps are also seen by the kernel ( /bin/ps output vs /proc, procfs walking andsyscall )

– Quick compare /proc, procfs walking and syscall vs /bin/ps output.

– Identify TCP/UDP ports that are listening but not listed in /bin/netstat doing brute forcing of all TCP/UDP ports availables.

El proceso para instalarlo es simple solo basta con compilarlo y ejecutarlo como root.

Lo extraemos:

tar -xf unhide-20110113.tar

Compilamos :
gcc –static unhide.c -o unhide

gcc –static unhide-tcp.c -o unhide-tcp

gcc -Wall -O2 –static -pthread unhide-linux26.c -o unhide-linux26

y listo a correr :

./sanity.sh

Con esto el programa escaneará y estará en búsqueda de procesos ocultos.

Para descargar:
http://sourceforge.net/projects/unhide/files/unhide-20110113.tgz/download
Más información :
http://www.unhide-forensics.info

y en las fuentes.

Nota: Gracias a @c1b3rh4ck por compartir la informacion.

2 Comments