5 Herramientas para escanear GNU/Linux en busca de malware y rootkits


Hay un nivel constante de altos ataques y escaneos de puertos en servidores Linux todo el tiempo pero también es buena idea mantener seguras nuestras instalaciones personales. Mientras, un firewall adecuadamente configurado y las actualizaciones regulares del sistema de seguridad agregan una capa adicional para mantener el sistema a salvo, pero también debes observar si alguien entró. Estas herramientas lo hará. También ayuda a garantizar que un servidor se mantenga libre de cualquier programa que tenga como objetivo interrumpir su funcionamiento normal.

Las herramientas presentadas en este artículo se crean para estos escaneos de seguridad y son capaces de identificar virus, malware, rootkits y comportamientos maliciosos. Puedes usar estas herramientas para realizar escaneos del sistema con regularidad.

1. Lynis – Auditoría de seguridad y escáner Rootkit

Lynis es una herramienta gratuita, de código abierto, poderosa y popular de auditoría y escaneo de seguridad para sistemas operativos tipo Unix / Linux. Es una herramienta de detección de vulnerabilidades de malware que escanea los sistemas en busca de información y problemas de seguridad, integridad de archivos, errores de configuración; realiza auditorías de cortafuegos, comprueba el software instalado, permisos de archivos / directorios y mucho más.

Es importante destacar que no realiza ningún ajuste automático del sistema, sin embargo, simplemente ofrece sugerencias que te permiten fortalecer tu sistema.

Instalaremos la última versión de Lynis (es decir, 2.6.6) de las fuentes, utilizando los siguientes comandos.


# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Ahora puedes realizar el escaneo de tu sistema con el siguiente comando.


# lynis audit system

Para hacer que el funcionamiento de Lynis sea automático cada noche, agrega la siguiente entrada cron, que se ejecutará a las 3 de la noche y enviará informes a tu dirección de correo electrónico.


0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" you@yourdomain.com

2. Chkrootkit – Un escáner Rootkit

Chkrootkit es también otro detector de rootkit gratuito y de código abierto que localmente busca signos de un rootkit en un sistema tipo Unix. Ayuda a detectar agujeros de seguridad ocultos. El paquete chkrootkit consta de un script de shell que verifica los binarios del sistema para la modificación del rootkit y una serie de programas que verifican varios problemas de seguridad.

La herramienta chkrootkit se puede instalar usando el siguiente comando en sistemas basados en Debian.

$ sudo apt install chkrootkit

Para verificar tu servidor con Chkrootkit, ejecuta el siguiente comando.


$ sudo chkrootkit 
O
# /usr/local/chkrootkit/chkrootkit

Una vez ejecutado, comenzará a verificar tu sistema en busca de Malwares y Rootkits conocidos y, una vez que el proceso haya finalizado, podrás ver el resumen del informe.

Para ejecutar Chkrootkit automáticamente cada noche, agrega la siguiente entrada cron, que se ejecutará a las 3 de la noche y enviará informes a tu dirección de correo electrónico.


0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com

Rkhunter

RKH (RootKit Hunter) es una herramienta gratuita, de código abierto, potente, fácil de usar y conocida para escanear puertas traseras, rootkits y exploits locales en sistemas compatibles con POSIX, como Linux. Como su nombre lo indica, es un buscador de rootkits, herramienta de monitoreo y análisis de seguridad que inspecciona minuciosamente un sistema para detectar agujeros de seguridad ocultos.

La herramienta rkhunter se puede instalar usando el siguiente comando en los sistemas basados en Ubuntu y CentOS.


$ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter

Para verificar tu servidor o máquina personal con rkhunter, ejecuta el siguiente comando.


# rkhunter -c

Para ejecutar rkhunter automáticamente cada noche, agrega la siguiente entrada cron, que se ejecutará a las 3 de la noche y enviará informes a tu dirección de correo electrónico.


0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com

4. ClamAV – Kit de herramientas de software antivirus

ClamAV es un motor antivirus de código abierto, versátil, popular y multiplataforma para detectar virus, malware, troyanos y otros programas maliciosos en una computadora. Es uno de los mejores programas antivirus gratuitos para Linux y el estándar de código abierto para el software de escaneo de gateway de correo que soporta casi todos los formatos de archivos de correo.

Admite actualizaciones de bases de datos de virus en todos los sistemas y escaneos en acceso solo en Linux. Además, puede escanear dentro de archivos y archivos comprimidos y admite formatos como Zip, Tar, 7Zip, Rar entre otros y muchas otras características.

ClamAV se puede instalar usando el siguiente comando en sistemas basados en Debian.


$ sudo apt-get install clamav

ClamAV se puede instalar usando el siguiente comando en sistemas basados en CentOS.


# yum -y update
# yum -y install clamav

Una vez instalado, puedes actualizar las firmas y escanear un directorio con los siguientes comandos.


# freshclam
# clamscan -r -i DIRECTORIO

Donde DIRECTORIO es la ubicación para escanear. Las opciones -r, significa escaneo recursivo e -i significa solo mostrar los archivos infectados.


5. LMD – Linux Malware Detect

LMD (Linux Malware Detect) es un explorador de código abierto, poderoso y con todas las funciones para Linux específicamente diseñado y dirigido a entornos alojados, pero que se puede utilizar para el sistema de amenazas de sistema Linux. Se puede integrar con el motor de escáner ClamAV para un mejor rendimiento.

Proporciona un sistema completo de informes para los resultados de análisis actuales y anteriores, admite el informe de alertas por correo electrónico después de cada ejecución del análisis y muchas otras funciones útiles.

Para la instalación y el uso de LMD, lee nuestro artículo Cómo instalar y usar Linux Malware Detect (LMD) con ClamAV como motor antivirus.

Fuente:  

 

(Visitada 1 veces, 22 visitas hoy )

4
Responder

avatar
4 Comment threads
0 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
4 Comment authors
ClaudioSysadminJaviLeandd Recent comment authors
  Subscribe  
Notify of
Leandd
Guest
Leandd

Muchas gracias por la info para un usuario novel, instalado Lynis y funcionando. Sobre ClamAv un apunte, he tenido que instalar clamav-daemon para que funcionase bien, con el siguiente comando: sudo apt install clamav-daemon ya que no lo instala solo con el comando ofrecido. Buenos días a todos!!

Javi
Guest
Javi

Gracias Pedro , no conocía Lynis ni Linux Malware Detect (LMD).Probando tanto uno como otro ,por cierto LMD en Manjaro (Arch) , a día de hoy , está en AUR como maldet.

Sysadmin
Guest

Gracias por la info amigo; ¡está muy bien explicado! 😉

Claudio
Guest
Claudio

Muy buena la explicación, hace tiempo que necesita de algún programa para poder ajustar un como la seguridad de mis sistemas. Excelente trabajo, gracias.

maslinux

Linuxero desde el pasado siglo XX :-)

Maslinux.es utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Social media & sharing icons powered by UltimatelySocial