Escanear malware y rootkit en un servidor linux

Escanear malware y rootkit en un servidor linux.

Gusanos, virus, malware y rootkit son la gran preocupación de los sysadmin.

Afortunadamente, es posible detectarlos en nuestro servidor, pues existen muchas herramientas para escanear el servidor Linux. sin embargo son tres… las que destacan por encima del resto.

Son las siguientes:

  1. ClamAV
  2. Chkrootkit
  3. AIDE

Analizamos las herramientas mencionadas.

 

Escanear malware y rootkit en un servidor linux

ClamAV:

Este antivirus en línea de comandos se integra perfectamente en servidores de correo (que es lo más complejo), y funciona en todas las grandes distribuciones linux. Debemos indicar que si lo quieres utilizar como antivirus normal en Linux escritorio, tienes la opción de instalar «ClamTK«, buenísimo, si señor. ClamTK es una GUI (ventana gráfica) de ClamAV.

La instalación en Ubuntu es tan fácil como ejecutar el siguiente comando:

sudo apt install clamav clamav-daemon

Si quiere aprender a utilizarlo en la terminal (recomendado), debes revisar un articulo de sololinux (se creo para CentOS, pero su uso es igual en cualquier distro linux).

Instalación y uso de ClamAV.

 

Chkrootkit:

Chkrootkit ejecuta una serie de pruebas para detectar módulos del kernel cargables que sean maliciosos, como gusanos y rootkits completos.

En Ubuntu, esta herramienta está disponible en el repositorio oficial. Copia y pega el siguiente código para instalarlo:

sudo apt install chkrootkit

A diferencia de Clam AV, chkrootkit es una herramienta que detecta cualquier cosa sospechosa en el sistema de archivos del servidor. Te indica que debes investigar, y en caso necesario, eliminar.

Una vez instalada la herramienta, la ejecutas con el siguiente comando:

sudo chkrootkit

 

AIDE:

AIDE (Entorno avanzado de detección de intrusiones), es un sistema de detección de intrusiones (HIDS) basado en host que verifica la integridad de los archivos. Para ello, crea una base de datos del sistema inicial, y la compara con las ejecuciones actuales.

Entre las propiedades de archivos que se verifican, se incluyen: inodos, permisos, ultima modificación, contenido, etc…

AIDE  realiza exclusivamente verificaciones de la integridad de los archivos. No busca rootkits ni analiza archivos de registro para detectar actividades sospechosas.

Puedes instalarlo en Ubuntu y derivados con el siguiente comando:

sudo apt install aide

Para completar el proceso de instalación, debes configurar Postfix a través de las opciones que te presentan. Puedes moverte por la opciones con la tecla «TAB«, y marcar el «Enter«.

AIDE hace uso de Postfix para enviar datos.

Pantalla de configuracion de AIDE

Pantalla de configuracion de AIDE

Configuramos AIDE en Postfix

Configuramos AIDE en Postfix

Creamos el archivo de los datos, hacemos uso de…

/var/lib/aide
/etc/aide

Creamos el archivo de datos y la propia configuración:

sudo aideinit

Movemos los archivos originales.
sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Actualizamos la configuración.
sudo update-aide.conf

Lo copiamos a una carpeta valida.
sudo cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.conf

Reinicia el servidor.
reboot

La herramienta debería funcionar correctamente, si quieres modificar su configuración, lo puedes hacer desde…

nano aide -c /etc/aide/aide.conf -C

 

Espero que este articulo te sea de utilidad, puedes ayudarnos a mantener el servidor con una donación (paypal), o también colaborar con el simple gesto de compartir nuestros artículos en tu sitio web, blog, foro o redes sociales.

 

Agregar comentario