Escanear malware y rootkit en un servidor linux

Escanear malware y rootkit en un servidor linux.

Gusanos, virus, malware y rootkit son la gran preocupación de los sysadmin.

Afortunadamente, es posible detectarlos en nuestro servidor, pues existen muchas herramientas para escanear el servidor Linux. sin embargo son tres… las que destacan por encima del resto.

Son las siguientes:

  1. ClamAV
  2. Chkrootkit
  3. AIDE

Analizamos las herramientas mencionadas.

 

Escanear malware y rootkit en un servidor linux

ClamAV:

Este antivirus en línea de comandos se integra perfectamente en servidores de correo (que es lo más complejo), y funciona en todas las grandes distribuciones linux. Debemos indicar que si lo quieres utilizar como antivirus normal en Linux escritorio, tienes la opción de instalar «ClamTK«, buenísimo, si señor. ClamTK es una GUI (ventana gráfica) de ClamAV.

La instalación en Ubuntu es tan fácil como ejecutar el siguiente comando:

Si quiere aprender a utilizarlo en la terminal (recomendado), debes revisar un articulo de sololinux (se creo para CentOS, pero su uso es igual en cualquier distro linux).

Instalación y uso de ClamAV.

 

Chkrootkit:

Chkrootkit ejecuta una serie de pruebas para detectar módulos del kernel cargables que sean maliciosos, como gusanos y rootkits completos.

En Ubuntu, esta herramienta está disponible en el repositorio oficial. Copia y pega el siguiente código para instalarlo:

A diferencia de Clam AV, chkrootkit es una herramienta que detecta cualquier cosa sospechosa en el sistema de archivos del servidor. Te indica que debes investigar, y en caso necesario, eliminar.

Una vez instalada la herramienta, la ejecutas con el siguiente comando:

 

AIDE:

AIDE (Entorno avanzado de detección de intrusiones), es un sistema de detección de intrusiones (HIDS) basado en host que verifica la integridad de los archivos. Para ello, crea una base de datos del sistema inicial, y la compara con las ejecuciones actuales.

Entre las propiedades de archivos que se verifican, se incluyen: inodos, permisos, ultima modificación, contenido, etc…

AIDE  realiza exclusivamente verificaciones de la integridad de los archivos. No busca rootkits ni analiza archivos de registro para detectar actividades sospechosas.

Puedes instalarlo en Ubuntu y derivados con el siguiente comando:

Para completar el proceso de instalación, debes configurar Postfix a través de las opciones que te presentan. Puedes moverte por la opciones con la tecla «TAB«, y marcar el «Enter«.

AIDE hace uso de Postfix para enviar datos.

Pantalla de configuracion de AIDE

Pantalla de configuracion de AIDE

Configuramos AIDE en Postfix

Configuramos AIDE en Postfix

Creamos el archivo de los datos, hacemos uso de…

/var/lib/aide
/etc/aide

Creamos el archivo de datos y la propia configuración:

Movemos los archivos originales.

Actualizamos la configuración.

Lo copiamos a una carpeta valida.

Reinicia el servidor.

La herramienta debería funcionar correctamente, si quieres modificar su configuración, lo puedes hacer desde…

nano aide -c /etc/aide/aide.conf -C

 

Espero que este articulo te sea de utilidad, puedes ayudarnos a mantener el servidor con una donación (paypal), o también colaborar con el simple gesto de compartir nuestros artículos en tu sitio web, blog, foro o redes sociales.

 

Valora el articulo!!!
[Total: 5 Media: 5]

Agregar comentario