4 herramientas para escanear un servidor Linux en busca de malware y rootkits

0
2480
views

Hay un alto nivel de ataques a servidores linux todo el tiempo. Un buen firewall y actualizaciones constantes agrega una capa de seguridad adicional. Pero siempre es necesario mantener un escaneo constante de nuestro sistema.

Las herramientas presentadas aqui son capaces de identificar virus, malware, rootkits y comportamientos maliciosos. Puedes usar estas herramientas para realizar escaneos del sistema con regularidad, por ejemplo. todas las noches y enviar informes por correo a tu dirección de correo electrónico.

1- LMD – Linux Malware Detect

LMD (Linux Malware Detect) es un potente escaner de malware de codigo abierto para Linux, específicamente diseñado y dirigido a entornos alojados, pero que se puede utilizar para detectar amenazas en cualquier sistema Linux. Se puede integrar con el motor de escáner ClamAV para un mejor rendimiento.

Proporciona un sistema completo de informes para ver los resultados de análisis actuales y anteriores, soporta el envio de alertas por correo electrónico después de cada ejecución del análisis y muchas otras funciones útiles.

2- ClamAV – Antivirus Software Toolkit

ClamAV es un motor antivirus de código abierto, versátil, popular y multiplataforma para detectar virus, malware, troyanos y otros programas maliciosos en una computadora. Es uno de los mejores programas antivirus gratuitos para Linux y el estándar de código abierto para el software de escaneo de gateway de correo que soporta casi todos los formatos de archivos de correo.

Soporta actualizaciones de bases de datos de virus en todos los sistemas y escaneos en acceso solo en Linux. Además, puede escanear dentro de archivos y archivos comprimidos y admite formatos como Zip, Tar, 7Zip, Rar entre otros y muchas otras características.

El ClamAV se puede instalar usando el siguiente comando en sistemas basados ​​en Debian.

user@computer:$ $ sudo apt-get install clamav

ClamAV se puede instalar usando el siguiente comando en sistemas basados ​​en CentOS.

user@computer:$ # yum -y update
# yum -y install clamav

Una vez instalado, puede actualizar las firmas y escanear un directorio con los siguientes comandos.

user@computer:$ # freshclam
# clamscan -r -i DIRECTORY

Donde DIRECTORIO es la ubicación para escanear. Las opciones -r, significa escaneo recursivo y -i significa solo mostrar los archivos infectados.

3- Rkhunter – A Linux Rootkit Scanners

RKH (RootKit Hunter) es una herramienta gratuita, de código abierto, potente, fácil de usar y conocida para escanear puertas traseras, rootkits y exploits locales en sistemas compatibles con POSIX, como Linux. Como su nombre lo indica, es un buscador de rootkits, herramienta de monitoreo y análisis de seguridad que inspecciona minuciosamente un sistema para detectar agujeros de seguridad ocultos.

La herramienta rkhunter se puede instalar usando el siguiente comando en los sistemas basados ​​en Ubuntu y CentOS.

user@computer:$ $ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter

Para verificar su servidor con rkhunter, ejecute el siguiente comando.

user@computer:$ # rkhunter -c

Para ejecutar run rkhunter automáticamente cada noche, agregue la siguiente entrada cron, que se ejecutará a las 3 de la noche y enviará informes a su dirección de correo electrónico.

user@computer:$ 0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com

4- Chkrootkit – A Linux Rootkit Scanners

Chkrootkit es también otro detector de rootkit gratuito y de código abierto que localmente busca signos de un rootkit en un sistema tipo Unix. Ayuda a detectar agujeros de seguridad ocultos. El paquete chkrootkit consta de un script de shell que verifica los binarios del sistema para la modificación del rootkit y una serie de programas que verifican varios problemas de seguridad.

La herramienta chkrootkit se puede instalar usando el siguiente comando en sistemas basados ​​en Debian.

user@computer:$ $ sudo apt install chkrootkit

En los sistemas basados ​​en CentOS, debe instalarlo desde las fuentes mediante los siguientes comandos.

user@computer:$ # yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense

Para verificar su servidor con Chkrootkit, ejecute el siguiente comando.

user@computer:$ $ sudo chkrootkit
OR
# /usr/local/chkrootkit/chkrootkit

Una vez ejecutado, comenzará a verificar su sistema en busca de Malwares y Rootkits conocidos y, una vez que el proceso haya finalizado, podrá ver el resumen del informe.

Para ejecutar Chkrootkit automáticamente cada noche, agregue la siguiente entrada cron, que se ejecutará a las 3 de la noche y enviará informes a su dirección de correo electrónico.

user@computer:$ 0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop