Búsqueda de sitios web

5 herramientas para escanear un servidor Linux en busca de malware y rootkits

Hay niveles constantes de altos ataques y escaneos de puertos en los servidores Linux todo el tiempo, mientras que un firewall configurado correctamente y actualizaciones periódicas del sistema de seguridad agregan una capa adicional para mantener el sistema seguro, pero también debe observar con frecuencia si alguien ingresa. También ayuda a garantizar que su servidor permanezca libre de cualquier programa que tenga como objetivo interrumpir su funcionamiento normal.

Las herramientas presentadas en este artículo se crean para estos análisis de seguridad y son capaces de identificar Virus, malware, Rootkits y maliciosos. comportamientos. Puede utilizar estas herramientas para realizar análisis regulares del sistema, p. todas las noches y envíe informes por correo a su dirección de correo electrónico.

1. Lynis: auditoría de seguridad y escáner de rootkits

Lynis es una herramienta de escaneo y auditoría de seguridad gratuita, de código abierto, poderosa y popular para sistemas operativos tipo Unix/Linux. Es una herramienta de detección de vulnerabilidades y escaneo de malware que escanea los sistemas en busca de información y problemas de seguridad, integridad de archivos y errores de configuración; realiza auditorías de firewall, verifica el software instalado, los permisos de archivos/directorios y mucho más.

Es importante destacar que no realiza automáticamente ningún refuerzo del sistema; sin embargo, simplemente ofrece sugerencias que le permiten reforzar su servidor.

Instalaremos la última versión de Lynis (es decir, 3.0.9) desde las fuentes, usando los siguientes comandos.

cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Ahora puede realizar el escaneo de su sistema con el siguiente comando.

sudo lynis audit system

Para ejecutar lynis automáticamente todas las noches, agregue la siguiente entrada cron, que se ejecutará a las 3 am de la noche y enviará informes a su dirección de correo electrónico.

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email 

2. Chkrootkit: un escáner de rootkits de Linux

Chkrootkit es también otro detector de rootkits gratuito y de código abierto que busca localmente signos de un rootkit en sistemas tipo Unix. Ayuda a detectar agujeros de seguridad ocultos.

El paquete chkrootkit consta de un script de shell que comprueba los archivos binarios del sistema en busca de modificaciones de rootkit y una serie de programas que comprueban diversos problemas de seguridad.

La herramienta chkrootkit se puede instalar usando el siguiente comando en sistemas basados en Debian.

sudo apt install chkrootkit

En sistemas basados en RHEL, debe instalarlo desde fuentes usando los siguientes comandos.

sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense

Para verificar su servidor con Chkrootkit ejecute el siguiente comando.

sudo chkrootkit 
OR
sudo /usr/local/chkrootkit/chkrootkit

Una vez ejecutado, comenzará a verificar su sistema en busca de malware y Rootkits conocidos y, una vez finalizado el proceso, podrá ver el resumen del informe.

Para ejecutar Chkrootkit automáticamente todas las noches, agregue la siguiente entrada cron, que se ejecutará a las 3 am de la noche y enviará informes a su dirección de correo electrónico.

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email 

3. Rkhunter: un escáner de rootkits de Linux

RootKit Hunter es una herramienta gratuita, de código abierto, potente, fácil de usar y conocida para escanear puertas traseras, rootkits y exploits locales en sistemas compatibles con POSIX como Linux.

Como su nombre lo indica, es un cazador de rootkits, una herramienta de análisis y monitoreo de seguridad que inspecciona minuciosamente un sistema para detectar agujeros de seguridad ocultos.

La herramienta rkhunter se puede instalar usando el siguiente comando en sistemas Ubuntu y basados en RHEL.

sudo apt install rkhunter   [On Debian systems]
sudo yum install rkhunter   [On RHEL systems]

Para verificar su servidor con rkhunter ejecute el siguiente comando.

sudo rkhunter -c

Para ejecutar rkhunter automáticamente todas las noches, agregue la siguiente entrada cron, que se ejecutará a las 3 am de la noche y enviará informes a su dirección de correo electrónico.

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email 

4. ClamAV: kit de herramientas de software antivirus

ClamAV es un motor antivirus de código abierto, versátil, popular y multiplataforma para detectar virus, malware, troyanos y otros programas maliciosos en una computadora.

Es uno de los mejores programas antivirus gratuitos para Linux y el estándar de código abierto para el software de escaneo de puertas de enlace de correo que admite casi todos los formatos de archivos de correo.

Admite actualizaciones de bases de datos de virus en todos los sistemas y escaneo en acceso solo en Linux. Además, puede escanear archivos comprimidos y admite formatos como Zip, Tar, 7Zip y Rar, entre otros y otras funciones.

ClamAV se puede instalar usando el siguiente comando en sistemas basados en Debian.

sudo apt install clamav

ClamAV se puede instalar usando el siguiente comando en sistemas basados en RHEL.

sudo yum -y update
sudo -y install clamav

Una vez instalado, puede actualizar las firmas y escanear un directorio con los siguientes comandos.

freshclam
sudo clamscan -r -i DIRECTORY

Donde DIRECTORIO es la ubicación a escanear. Las opciones -r significan escanear recursivamente y -i significa mostrar solo archivos infectados.

5. LMD: detección de malware en Linux

LMD (Linux Malware Detect) es un escáner de malware de código abierto, potente y con todas las funciones para Linux diseñado específicamente y dirigido a entornos alojados compartidos, pero puede usarse para detectar amenazas en cualquier sistema Linux. Se puede integrar con el motor de escáner ClamAV para un mejor rendimiento.

Proporciona un sistema de informes completo para ver los resultados de análisis actuales y anteriores, admite informes de alerta por correo electrónico después de cada ejecución de análisis y muchas otras funciones útiles.

Para la instalación y el uso de LMD, lea nuestro artículo Cómo instalar LMD con ClamAV como motor antivirus en Linux.

¡Eso es todo por ahora! En este artículo, compartimos una lista de 5 herramientas para escanear un servidor Linux en busca de malware y rootkits. Háganos saber su opinión en la sección de comentarios.