Comportamiento inesperado en un servidor Linux o escritorio puede ser el resultado de alguna infección de malware y necesita ser investigado tan pronto como sea posible. Los ordenadores Linux tienen una reputación equivocada por ser completamente seguros y libres de virus, aunque las capas de seguridad y autenticación sudo contribuyen a un sistema operativo más seguro, esta afirmación termina llevando a muchos usuarios a descuidar sus instalaciones y, en consecuencia, su seguridad. Periódicamente escanear su ordenador linux con programas especializados está muy indicado, especialmente para aquellas personas que tienen el hábito de ejecutar cualquier código de Internet con sudo, no hacer eso, en serio!
Hay excelentes programas que pueden ayudar a identificar sistemas comprometidos y amenazas potenciales en su máquina. En este artículo cubriremos 3 programas que utilizo y recomiendo:
- ClamAV, Año Nuevo
- Antivirus Sophos
- Rkhunter
- Chkrootkit
Actualice la información del paquete
En primer lugar actualizaremos los paquetes de nuestro sistema operativo:
$ sudo apt-get instalar clamav clamav-daemon |
ClamAV, Año Nuevo
ClamAV es un antivirus de código abierto muy popular y está disponible en múltiples plataformas, incluyendo la mayoría de las distribuciones de Linux.
Instale con el siguiente comando:
$ sudo apt-get instalar clamav clamav-daemon |
Después de la instalación tenemos que actualizar la base de datos del antivirus ClamAV :
$sudo frescosclam |
Ahora que nuestro antivirus está actualizado podemos comenzar nuestra investigación escaneando la carpeta de inicio:
$ sudo clamscan -r /home |
Si todo sucede como se esperaba y no hay ningún archivo infectado en su carpeta de inicio, el comando no devuelve nada.
¿Cómo probar si el antivirus realmente funciona?
Para probar podemos descargar un archivo inofensivo que está destinado a ser fácilmente identificable por antivirus. Gire el siguiente comando para descargar el programa en su carpeta de inicio:
$wget -P //http://www.eicar.org/download/eicar.com |
Ahora vuelva a escanear su carpeta de inicio con los mismos comandos que el primer paso y tenga en cuenta que recibirá un mensaje de que se ha identificado un archivo infectado. Ahora que ha confirmado que funciona, ejecute el siguiente comando para escanear y eliminar el archivo infectado:
$ sudo clamscan --infected --elimina --recursive /home |
Tenga mucho cuidado al ejecutar el comando con la opción de eliminación, siempre ejecute un análisis inicial sin él para no eliminar los archivos que se pueden identificar falsamente por error.
Para realizar un análisis completo de su servidor, ejecute el siguiente comando:
$ sudo clamscan --infected --recursive --exclude-dir-"/sys" / |
Este comando comprueba todos los directorios de forma recursiva, omitiendo solo la carpeta /sys para evitar alertas innecesarias.
Antivirus Sophos
Para instalar sophos antivirus necesitamos crear una cuenta en el sitio web oficial y aceptar los términos para descargar el archivo tarball que contiene la instalación.
Descargar en algún lugar de fácil acceso y extraer el archivo tarball:
$ alquitrán xzf sav-linux-free-9.tgz |
Vaya a la carpeta extraída y ejecute la instalación del script:
$ cd sophos-av$sudo ./install.sh |
Aceptar el Acuerdo de licencia de usuario final (EULA)
Tan pronto como se inicia el instalador, necesitamos aceptar el contrato de licencia. Vaya al final y acepte continuar con la instalación:
...Acepto el Acuerdo de licencia de usuario final de Sophos y reconozco la Política de privacidad de Sophos. Sí(Y)/No(N)[N]> Y |
Seleccione la ubicación de instalación. De forma predeterminada, la instalación se producirá en la carpeta /opt/sophos-av:
¿Dónde desea instalar Sophos Anti-Virus?[/opt/sophos-av]> ENTER |
A continuación podemos elegir activar el "modo de escaneo en tiempo real", te recomiendo que actives:
¿Desea habilitar el análisis en tiempo real? Sí(Y)/No(N)[Y]> ENTER |
Ahora Sophos le pedirá permiso para actualizar automáticamente, le recomendamos que habilite siempre ponerse al día con el nuevo malware identificado:
Sophos recomienda configurar Sophos Anti-Virus para que se actualice automáticamente.Puede actualizarse directamente desde Sophos (requiriendo detalles de nombre de usuario/contraseña) o desde su propio servidor (directorio o sitio web (posiblementenombre de usuario/contraseña)).¿Qué tipo de actualización automática desea? Desde Sophos/Desde el propio servidor/Ninguno(n)[s]> ENTER |
Ahora seleccione la versión gratuita escribiendo "f" y presionando enter.
¿Desea instalar la versión gratuita (f) o compatible (s) de SAV para Linux?[s]> f |
Después de que todas las preguntas han terminado y la instalación también, un resultado similar a la siguiente debe ser devuelto:
Obtención de credenciales de actualización gratuita.Instalación de Sophos Anti-Virus....Selección del soporte adecuado del kernel...Instalación completada.Su equipo ahora está protegido por Sophos Anti-Virus. |
Esto significa que Sophos Antivirus se ha instalado correctamente y ya está protegiendo su equipo.
Comandos importantes para el uso de Sophos Antivirus
Compruebe si Sophos Antivirus se está ejecutando:
$ /opt/sophos-av/bin/savdstatusSophos Anti-Virus está activo y el análisis en tiempo real se está ejecutando |
Activar o desactivar la carga al iniciar el sistema:
$/opt/sophos-av/bin/savdctl$ /opt/sophos-av/bin/savdctl disableOnBoot |
Activar o desactivar el "modo de acceso" de Sophos Antivirus:
/opt/sophos-av/bin/savdctl enable ?/opt/sophos-av/bin/savdctl disable ( Desactivar |
Realice un análisis bajo demanda:
$savscan/home/shadowlik |
Rkhunter
Rkhunter es una solución muy famosa para escanear su sistema en busca de rootkits y otras vulnerabilidades. La instalación está disponible directamente desde la gestión de paquetes:
$sudo apt-get install rkhunter |
Una vez instalado, antes de empezar a escanear el equipo, necesitamos actualizar su banco de propiedades:
$sudo rkhunter --propupd |
Esto permite al programa conocer el estado actual de algunos archivos para evitar alertas falsas. Ahora vamos a iniciar el análisis:
$sudo rkhunter --checkall |
El programa busca algunos comandos estándar del sistema, la comprobación de rootkits, algunos programas maliciosos y también la configuración de red. El resultado del análisis se muestra en el terminal y se guarda en un archivo de registro con el resumen de la operación.
Para comprobar el resultado guardado en el archivo de registro:
$sudo cat /var/log/rkhunter.log ? advertencia grep -i |
Lea el informe con calma y considere los consejos para mejorar su sistema.
Chkrootkit
Chkrootkit es otra solución muy popular para escanear su sistema en busca de rootkits, realiza una serie de comprobaciones útiles que pueden dirigirle la manera de identificar posibles vulnerabilidades.
$sudo apt-get install chkrootkit |
Para escanear sólo tiene que ejecutar el siguiente comando:
$sudo chkrootkit |
Chkrootkit que no sea Rkhunter no guarda ningún archivo de registro, sólo devuelve el resultado en el terminal. Si desea guardar el informe para analizar más adelante, utilice el comando tee para dirigir la devolución a un archivo de disco.
$sudo chkrootkit ? sudo tee /var/log/chkrootkit/chkrootkit.log |
Ahora compruebe su archivo filtrando por advertencias:
$sudo cat /var/log/chkrootkit/chkrootkit.log advertencia grep -i |
Chkrootkit puede ser muy útil para determinar si su máquina ha sido comprometida, pero no utilice como su única respuesta, siempre junto con otro programa para analizar aún más posibles daños a su instalación.
