Scan-Linux-for-Malware-Rootkits

Hay un nivel constante de altos ataques y escaneos de puertos en servidores Linux todo el tiempo pero también es buena idea mantener seguras nuestras instalaciones personales. Mientras, un firewall adecuadamente configurado y las actualizaciones regulares del sistema de seguridad agregan una capa adicional para mantener el sistema a salvo, pero también debes observar si alguien entró. Estas herramientas lo hará. También ayuda a garantizar que un servidor se mantenga libre de cualquier programa que tenga como objetivo interrumpir su funcionamiento normal.

Las herramientas presentadas en este artículo se crean para estos escaneos de seguridad y son capaces de identificar virus, malware, rootkits y comportamientos maliciosos. Puedes usar estas herramientas para realizar escaneos del sistema con regularidad.

1. Lynis – Auditoría de seguridad y escáner Rootkit

Lynis es una herramienta gratuita, de código abierto, poderosa y popular de auditoría y escaneo de seguridad para sistemas operativos tipo Unix / Linux. Es una herramienta de detección de vulnerabilidades de malware que escanea los sistemas en busca de información y problemas de seguridad, integridad de archivos, errores de configuración; realiza auditorías de cortafuegos, comprueba el software instalado, permisos de archivos / directorios y mucho más.

Es importante destacar que no realiza ningún ajuste automático del sistema, sin embargo, simplemente ofrece sugerencias que te permiten fortalecer tu sistema.

Instalaremos la última versión de Lynis (es decir, 2.6.6) de las fuentes, utilizando los siguientes comandos.

# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Ahora puedes realizar el escaneo de tu sistema con el siguiente comando.

# lynis audit system

Lynis-Linux-Security-Auditing-Tool

Para hacer que el funcionamiento de Lynis sea automático cada noche, agrega la siguiente entrada cron, que se ejecutará a las 3 de la noche y enviará informes a tu dirección de correo electrónico.

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

2. Chkrootkit – Un escáner Rootkit

Chkrootkit es también otro detector de rootkit gratuito y de código abierto que localmente busca signos de un rootkit en un sistema tipo Unix. Ayuda a detectar agujeros de seguridad ocultos. El paquete chkrootkit consta de un script de shell que verifica los binarios del sistema para la modificación del rootkit y una serie de programas que verifican varios problemas de seguridad.

La herramienta chkrootkit se puede instalar usando el siguiente comando en sistemas basados en Debian.

$ sudo apt install chkrootkit

Para verificar tu servidor con Chkrootkit, ejecuta el siguiente comando.

$ sudo chkrootkit 
O
# /usr/local/chkrootkit/chkrootkit

Una vez ejecutado, comenzará a verificar tu sistema en busca de Malwares y Rootkits conocidos y, una vez que el proceso haya finalizado, podrás ver el resumen del informe.

Para ejecutar Chkrootkit automáticamente cada noche, agrega la siguiente entrada cron, que se ejecutará a las 3 de la noche y enviará informes a tu dirección de correo electrónico.

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Rkhunter

RKH (RootKit Hunter) es una herramienta gratuita, de código abierto, potente, fácil de usar y conocida para escanear puertas traseras, rootkits y exploits locales en sistemas compatibles con POSIX, como Linux. Como su nombre lo indica, es un buscador de rootkits, herramienta de monitoreo y análisis de seguridad que inspecciona minuciosamente un sistema para detectar agujeros de seguridad ocultos.

La herramienta rkhunter se puede instalar usando el siguiente comando en los sistemas basados en Ubuntu y CentOS.

$ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter

Para verificar tu servidor o máquina personal con rkhunter, ejecuta el siguiente comando.

# rkhunter -c

Para ejecutar rkhunter automáticamente cada noche, agrega la siguiente entrada cron, que se ejecutará a las 3 de la noche y enviará informes a tu dirección de correo electrónico.

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

4. ClamAV – Kit de herramientas de software antivirus

ClamAV es un motor antivirus de código abierto, versátil, popular y multiplataforma para detectar virus, malware, troyanos y otros programas maliciosos en una computadora. Es uno de los mejores programas antivirus gratuitos para Linux y el estándar de código abierto para el software de escaneo de gateway de correo que soporta casi todos los formatos de archivos de correo.

Admite actualizaciones de bases de datos de virus en todos los sistemas y escaneos en acceso solo en Linux. Además, puede escanear dentro de archivos y archivos comprimidos y admite formatos como Zip, Tar, 7Zip, Rar entre otros y muchas otras características.

ClamAV se puede instalar usando el siguiente comando en sistemas basados en Debian.

$ sudo apt-get install clamav

ClamAV se puede instalar usando el siguiente comando en sistemas basados en CentOS.

# yum -y update
# yum -y install clamav

Una vez instalado, puedes actualizar las firmas y escanear un directorio con los siguientes comandos.

# freshclam
# clamscan -r -i DIRECTORIO

Donde DIRECTORIO es la ubicación para escanear. Las opciones -r, significa escaneo recursivo e -i significa solo mostrar los archivos infectados.

5. LMD – Linux Malware Detect

LMD (Linux Malware Detect) es un explorador de código abierto, poderoso y con todas las funciones para Linux específicamente diseñado y dirigido a entornos alojados, pero que se puede utilizar para el sistema de amenazas de sistema Linux. Se puede integrar con el motor de escáner ClamAV para un mejor rendimiento.

Proporciona un sistema completo de informes para los resultados de análisis actuales y anteriores, admite el informe de alertas por correo electrónico después de cada ejecución del análisis y muchas otras funciones útiles.

Para la instalación y el uso de LMD, lee el artículo Cómo instalar y usar Linux Malware Detect (LMD) con ClamAV como motor antivirus.

 

Fuente:  Original | maslinux

¿Quién está en línea?

Hay 26612 invitados y ningún miembro en línea