¿Te preocupa que tu sistema Linux esté infectado con malware? ¿Alguna vez lo has comprobado? Aunque los sistemas Linux tienden a ser menos susceptibles al malware que Windows, pueden infectarse.

Hay un puñado de excelentes herramientas de código abierto para ayudarte a comprobar si tu sistema Linux ha sido víctima de malware. Mientras que ningún software es perfecto, estos tres tienen una sólida reputación y se puede confiar para encontrar la mayoría de las amenazas conocidas.

ClamAV es un antivirus estándar y probablemente será el más familiar para ti. En realidad hay una versión de Windows de ClamAV también.

Instalar ClamAV y ClamTK

ClamAV y su parte gráfica se empaquetan por separado. Esto se debe a que ClamAV se puede ejecutar desde la línea de comandos sin la GUI, si lo deseas. Incluso aún, la interfaz gráfica ClamTK es más fácil para la mayoría de la gente. Lo siguiente es cómo instalarlo.

Para Debian y Ubuntu:

sudo apt install clamav clamtk

También puedes encontrar clamav y clamtk en el gestor de paquetes de tu distribución si no estás usando basadas en Ubuntu.

Una vez instalados ambos programas, debes actualizar su base de datos de virus. A diferencia de todo lo demás con ClamAV, que tiene que hacerse como root o con sudo.

sudo freshclam

Existe la posibilidad de que el freshclam se ejecute como un daemon. Para ejecutarlo manualmente, detén el daemon con Systemd. A continuación, puedes ejecutarlo normalmente.

sudo systemctl stop clamav-freshclam

Tomará algún tiempo, así que deja que ClamAV se encargue de su trabajo.

Ejecutar el escaneo:

ClamTK Menu

Antes de ejecutar el escaneo, haz clic en el botón “Configuración” y marca “Explorar archivos que comienzan con un punto”, “Escanear archivos de más de 20 MB” y “Escanear los directorios recursivamente”.

ClamTK Settings

Vuelve al menú principal y haz clic en “Escanear un directorio”. Selecciona el directorio que deseas comprobar. Si deseas analizar todo el equipo, selecciona “Sistema de archivos”. Es posible que tengas que volver a ejecutar ClamTK desde la línea de comandos con la orden sudo para que funcione.

ClamTK Scanning

Una vez completada la exploración, ClamTK te presentará cualquier amenaza descubierta y permitirá elegir qué hacer con ellos. Eliminarlos es obviamente mejor, pero puede desestabilizar el sistema. Esto queda a tu juicio.

La siguiente exploración a instalar es Chkrootkit. Analiza un tipo de malware específico para sistemas similares a Unix como Linux y Mac: el rootkit. Como su nombre indica, el objetivo de los rootkits es obtener acceso root en el sistema de destino.

Chkrootkit escanea los archivos del sistema para detectar signos de alteraciones maliciosas y los revisa contra una base de datos de rootkits conocidos.

Chkrootkit está disponible en la mayoría de los repositorios de distribución. Instalálo con tu gestor de paquetes.

sudo apt install chkrootkit

Chequeo para encontrar Rootkits

Chkrootkit scan

Justo en el terminal:

sudo chkrootkit

 

Puede detenerse durante un tiempo en algunos mientras explora archivos. Debería ver “nada encontrado” o “no infectado” al lado de cada uno.

El programa no da un informe final cuando termina, así que vuelve y comprueba manualmente que no hay resultados.

También puede canalizar el programa en grep y buscar INFECTED, pero eso no lo atrapará todo.

Falso Positivos Conocidos

Hay un error extraño con Chkrootkit que reporta un falso positivo para Linux / Ebury – Operation Windigo. Este es un error conocido desde hace tiempo por la introducción de un indicador -G en SSH. Hay un par de pruebas manuales que puedes ejecutar para verificar que es un falso positivo.

Primero, ejecuta lo siguiente como root.

find /lib* -type f -name libns2.so

No debería aparecer nada. A continuación, comprueba que el malware no esté utilizando un socket Unix.

netstat -nap | grep "@/proc/udevd"

Si ninguno de los dos comandos da resultados, el sistema está limpio.

También parece haber un falso positivo bastante nuevo para tcpd en Ubuntu. Si devuelve un resultado positivo en tu sistema, investiga más, pero ten en cuenta que el resultado podría ser incorrecto.

También puede encontrar entradas para wted. Éstos pueden ser causados por errores de corrupción o registro en fallos del sistema. Utiliza el último para comprobar si los tiempos se alinean con reinicios o bloqueos. En esos casos los resultados fueron probablemente causados por esos eventos y no por actividad maliciosa.

Rkhunter es otra herramienta para buscar rookits. Es bueno ejecutar ambos junto a Chkrootkit en tu sistema para asegurarte de que nada entró a través de las grietas y para verificar falsos positivos.

De nuevo, éste debe estar en los repositorios de tu distribución.

sudo apt install rkhunter

Ejecutar escaneo

Primero, actualiza la base de datos de rkhunter.

sudo rkhunter --update

rkhunter scan

Y después empezamos a escanear.

sudo rkhunter --check

 

El programa se detendrá después de cada sección. Probablemente verás algunas advertencias. Muchos surgen debido a configuraciones sub-óptimas. Cuando finalice la exploración, indicará que eches un vistazo a su registro de actividad completo en /var/log/rkhunter.log. Puedes ver la razón de cada advertencia allí.

También ofrece un resumen completo de sus resultados de análisis.

 Ten cuidado y verifica los resultados que recibas antes de hacer algo drástico.

Mantén estos programas actualizados y escanea con regularidad. La seguridad siempre está evolucionando y las amenazas van y vienen. Depende de ti mantenerse actualizado y vigilante.

Original

(Visitada 1 veces, 5 visitas hoy )