Maslinux
Las noticias más recientes sobre GNU-Linux

Cómo escanear tu PC con GNU/Linux para detectar virus y rootkits

¿Te preocupa que tu sistema Linux esté infectado con malware? ¿Alguna vez lo has comprobado? Aunque los sistemas Linux tienden a ser menos susceptibles al malware que Windows, pueden infectarse.

Hay un puñado de excelentes herramientas de código abierto para ayudarte a comprobar si tu sistema Linux ha sido víctima de malware. Mientras que ningún software es perfecto, estos tres tienen una sólida reputación y se puede confiar para encontrar la mayoría de las amenazas conocidas.

ClamAV es un antivirus estándar y probablemente será el más familiar para ti. En realidad hay una versión de Windows de ClamAV también.

Instalar ClamAV y ClamTK

ClamAV y su parte gráfica se empaquetan por separado. Esto se debe a que ClamAV se puede ejecutar desde la línea de comandos sin la GUI, si lo deseas. Incluso aún, la interfaz gráfica ClamTK es más fácil para la mayoría de la gente. Lo siguiente es cómo instalarlo.

Para Debian y Ubuntu:

sudo apt install clamav clamtk

También puedes encontrar clamav y clamtk en el gestor de paquetes de tu distribución si no estás usando basadas en Ubuntu.

Una vez instalados ambos programas, debes actualizar su base de datos de virus. A diferencia de todo lo demás con ClamAV, que tiene que hacerse como root o con sudo.

sudo freshclam

Existe la posibilidad de que el freshclam se ejecute como un daemon. Para ejecutarlo manualmente, detén el daemon con Systemd. A continuación, puedes ejecutarlo normalmente.

sudo systemctl stop clamav-freshclam

Tomará algún tiempo, así que deja que ClamAV se encargue de su trabajo.

Ejecutar el escaneo:

ClamTK Menu

Antes de ejecutar el escaneo, haz clic en el botón “Configuración” y marca “Explorar archivos que comienzan con un punto”, “Escanear archivos de más de 20 MB” y “Escanear los directorios recursivamente”.

ClamTK Settings

Vuelve al menú principal y haz clic en “Escanear un directorio”. Selecciona el directorio que deseas comprobar. Si deseas analizar todo el equipo, selecciona “Sistema de archivos”. Es posible que tengas que volver a ejecutar ClamTK desde la línea de comandos con la orden sudo para que funcione.

ClamTK Scanning

Una vez completada la exploración, ClamTK te presentará cualquier amenaza descubierta y permitirá elegir qué hacer con ellos. Eliminarlos es obviamente mejor, pero puede desestabilizar el sistema. Esto queda a tu juicio.

La siguiente exploración a instalar es Chkrootkit. Analiza un tipo de malware específico para sistemas similares a Unix como Linux y Mac: el rootkit. Como su nombre indica, el objetivo de los rootkits es obtener acceso root en el sistema de destino.

Chkrootkit escanea los archivos del sistema para detectar signos de alteraciones maliciosas y los revisa contra una base de datos de rootkits conocidos.

Chkrootkit está disponible en la mayoría de los repositorios de distribución. Instalálo con tu gestor de paquetes.

sudo apt install chkrootkit

Chequeo para encontrar Rootkits

Chkrootkit scan

Justo en el terminal:

sudo chkrootkit

 

Puede detenerse durante un tiempo en algunos mientras explora archivos. Debería ver “nada encontrado” o “no infectado” al lado de cada uno.

El programa no da un informe final cuando termina, así que vuelve y comprueba manualmente que no hay resultados.

También puede canalizar el programa en grep y buscar INFECTED, pero eso no lo atrapará todo.

Falso Positivos Conocidos

Hay un error extraño con Chkrootkit que reporta un falso positivo para Linux / Ebury – Operation Windigo. Este es un error conocido desde hace tiempo por la introducción de un indicador -G en SSH. Hay un par de pruebas manuales que puedes ejecutar para verificar que es un falso positivo.

Primero, ejecuta lo siguiente como root.

find /lib* -type f -name libns2.so

No debería aparecer nada. A continuación, comprueba que el malware no esté utilizando un socket Unix.

netstat -nap | grep "@/proc/udevd"

Si ninguno de los dos comandos da resultados, el sistema está limpio.

También parece haber un falso positivo bastante nuevo para tcpd en Ubuntu. Si devuelve un resultado positivo en tu sistema, investiga más, pero ten en cuenta que el resultado podría ser incorrecto.

También puede encontrar entradas para wted. Éstos pueden ser causados por errores de corrupción o registro en fallos del sistema. Utiliza el último para comprobar si los tiempos se alinean con reinicios o bloqueos. En esos casos los resultados fueron probablemente causados por esos eventos y no por actividad maliciosa.

Rkhunter es otra herramienta para buscar rookits. Es bueno ejecutar ambos junto a Chkrootkit en tu sistema para asegurarte de que nada entró a través de las grietas y para verificar falsos positivos.

De nuevo, éste debe estar en los repositorios de tu distribución.

sudo apt install rkhunter

Ejecutar escaneo

Primero, actualiza la base de datos de rkhunter.

sudo rkhunter --update

rkhunter scan

Y después empezamos a escanear.

sudo rkhunter --check

 

El programa se detendrá después de cada sección. Probablemente verás algunas advertencias. Muchos surgen debido a configuraciones sub-óptimas. Cuando finalice la exploración, indicará que eches un vistazo a su registro de actividad completo en /var/log/rkhunter.log. Puedes ver la razón de cada advertencia allí.

También ofrece un resumen completo de sus resultados de análisis.

 Ten cuidado y verifica los resultados que recibas antes de hacer algo drástico.

Mantén estos programas actualizados y escanea con regularidad. La seguridad siempre está evolucionando y las amenazas van y vienen. Depende de ti mantenerse actualizado y vigilante.

Original

(Visitada 1 veces, 1 visitas hoy )

! Comentario

  1. angel angel
    22 noviembre, 2017    

    soy nuevo en ubuntu y tu pagina me enseya mucho adelante y gracias por toda la informacion

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Dinero público? ¡Código Público! – Únete a la campaña de la FSFE

Mediante el uso de software libre, los datos de los ciudadanos se mantienen más seguros y las posibilidades de éxito ataques de los criminales se reduce. El software libre también puede utilizarse como base para mejores aplicaciones, basándose en él para crear programas más eficientes y seguros. En resumen, el Software Libre puede ayudarnos a construir una sociedad mejor para todos.Firma aquí Para más info, Visita este enlace

Populares

  • Qué hacer después de instalar Debian 9 "Stretch" (6)
  • Los 9 mejores editores de texto en GNU-Linux (4)
  • Revisión de Lubuntu 17.04: Escritorio ligero y completo (3)
  • Cómo instalar temas en Ubuntu 17.10 (3)
  • 10 Grandes temas para XFCE para usuarios de GNU/Linux (3)
  • WPS Office: Una de las mejores* alternativas a MS Office en GNU/Linux (2)
  • 7 de los mejores temas de iconos para Ubuntu (2)

Categorías

Archivos

Este blog apoya a Slimbook

Porque producen ultrabooks ensamblados en España con software y hardware libre.

Suscripción por email

Puedes suscribirte a las noticias más recientes por correo electrónico

10 años en la Web

Maslinux.es utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies