Comportamiento inesperado en un servidor Linux o escritorio puede ser el resultado de alguna infección de malware y necesita ser investigado tan pronto como sea posible. Los ordenadores Linux tienen una reputación equivocada por ser completamente seguros y libres de virus, aunque las capas de seguridad y autenticación sudo contribuyen a un sistema operativo más seguro, esta afirmación termina llevando a muchos usuarios a descuidar sus instalaciones y, en consecuencia, su seguridad. Periódicamente escanear su ordenador linux con programas especializados está muy indicado, especialmente para aquellas personas que tienen el hábito de ejecutar cualquier código de Internet con sudo, no hacer eso, en serio!

Hay excelentes programas que pueden ayudar a identificar sistemas comprometidos y amenazas potenciales en su máquina. En este artículo cubriremos 3 programas que utilizo y recomiendo:

  • ClamAV, Año Nuevo
  • Antivirus Sophos
  • Rkhunter
  • Chkrootkit

Actualice la información del paquete

En primer lugar actualizaremos los paquetes de nuestro sistema operativo:

$ sudo apt-get instalar clamav clamav-daemon

ClamAV, Año Nuevo

ClamAV es un antivirus de código abierto muy popular y está disponible en múltiples plataformas, incluyendo la mayoría de las distribuciones de Linux.

Instale con el siguiente comando:

$ sudo apt-get instalar clamav clamav-daemon

Después de la instalación tenemos que actualizar la base de datos del antivirus ClamAV :

$sudo frescosclam

Ahora que nuestro antivirus está actualizado podemos comenzar nuestra investigación escaneando la carpeta de inicio:

$ sudo clamscan -r /home

Si todo sucede como se esperaba y no hay ningún archivo infectado en su carpeta de inicio, el comando no devuelve nada.

¿Cómo probar si el antivirus realmente funciona?

Para probar podemos descargar un archivo inofensivo que está destinado a ser fácilmente identificable por antivirus. Gire el siguiente comando para descargar el programa en su carpeta de inicio:

$wget -P //http://www.eicar.org/download/eicar.com

Ahora vuelva a escanear su carpeta de inicio con los mismos comandos que el primer paso y tenga en cuenta que recibirá un mensaje de que se ha identificado un archivo infectado. Ahora que ha confirmado que funciona, ejecute el siguiente comando para escanear y eliminar el archivo infectado:

$ sudo clamscan --infected --elimina --recursive /home

Tenga mucho cuidado al ejecutar el comando con la opción de eliminación, siempre ejecute un análisis inicial sin él para no eliminar los archivos que se pueden identificar falsamente por error.

Para realizar un análisis completo de su servidor, ejecute el siguiente comando:

$ sudo clamscan --infected --recursive --exclude-dir-"/sys" /

Este comando comprueba todos los directorios de forma recursiva, omitiendo solo la carpeta /sys para evitar alertas innecesarias.

Antivirus Sophos

Para instalar sophos antivirus necesitamos crear una cuenta en el sitio web oficial y aceptar los términos para descargar el archivo tarball que contiene la instalación.

Descargar en algún lugar de fácil acceso y extraer el archivo tarball:

$ alquitrán xzf sav-linux-free-9.tgz

Vaya a la carpeta extraída y ejecute la instalación del script:

$ cd sophos-av
$sudo ./install.sh

Aceptar el Acuerdo de licencia de usuario final (EULA)

Tan pronto como se inicia el instalador, necesitamos aceptar el contrato de licencia. Vaya al final y acepte continuar con la instalación:

...
Acepto el Acuerdo de licencia de usuario final de Sophos y reconozco la Política de privacidad de Sophos. Sí(Y)/No(N)[N]
> Y

Seleccione la ubicación de instalación. De forma predeterminada, la instalación se producirá en la carpeta /opt/sophos-av:

¿Dónde desea instalar Sophos Anti-Virus?[/opt/sophos-av]
> ENTER

A continuación podemos elegir activar el "modo de escaneo en tiempo real", te recomiendo que actives:

¿Desea habilitar el análisis en tiempo real? Sí(Y)/No(N)[Y]
> ENTER

Ahora Sophos le pedirá permiso para actualizar automáticamente, le recomendamos que habilite siempre ponerse al día con el nuevo malware identificado:

Sophos recomienda configurar Sophos Anti-Virus para que se actualice automáticamente.

Puede actualizarse directamente desde Sophos (requiriendo detalles de nombre de usuario/contraseña) o desde su propio servidor (directorio o sitio web (posiblemente
nombre de usuario/contraseña)).

¿Qué tipo de actualización automática desea? Desde Sophos/Desde el propio servidor/Ninguno(n)[s]
> ENTER

Ahora seleccione la versión gratuita escribiendo "f" y presionando enter.

¿Desea instalar la versión gratuita (f) o compatible (s) de SAV para Linux?[s]
> f

Después de que todas las preguntas han terminado y la instalación también, un resultado similar a la siguiente debe ser devuelto:

Obtención de credenciales de actualización gratuita.
Instalación de Sophos Anti-Virus....
Selección del soporte adecuado del kernel...

Instalación completada.
Su equipo ahora está protegido por Sophos Anti-Virus.

Esto significa que Sophos Antivirus se ha instalado correctamente y ya está protegiendo su equipo.

Comandos importantes para el uso de Sophos Antivirus

Compruebe si Sophos Antivirus se está ejecutando:

$ /opt/sophos-av/bin/savdstatus
Sophos Anti-Virus está activo y el análisis en tiempo real se está ejecutando

Activar o desactivar la carga al iniciar el sistema:

$/opt/sophos-av/bin/savdctl
$ /opt/sophos-av/bin/savdctl disableOnBoot

Activar o desactivar el "modo de acceso" de Sophos Antivirus:

/opt/sophos-av/bin/savdctl enable ?
/opt/sophos-av/bin/savdctl disable ( Desactivar

Realice un análisis bajo demanda:

$savscan/home/shadowlik

Rkhunter

Rkhunter es una solución muy famosa para escanear su sistema en busca de rootkits y otras vulnerabilidades. La instalación está disponible directamente desde la gestión de paquetes:

$sudo apt-get install rkhunter

Una vez instalado, antes de empezar a escanear el equipo, necesitamos actualizar su banco de propiedades:

$sudo rkhunter --propupd

Esto permite al programa conocer el estado actual de algunos archivos para evitar alertas falsas. Ahora vamos a iniciar el análisis:

$sudo rkhunter --checkall

El programa busca algunos comandos estándar del sistema, la comprobación de rootkits, algunos programas maliciosos y también la configuración de red. El resultado del análisis se muestra en el terminal y se guarda en un archivo de registro con el resumen de la operación.

Para comprobar el resultado guardado en el archivo de registro:

$sudo cat /var/log/rkhunter.log ? advertencia grep -i

Lea el informe con calma y considere los consejos para mejorar su sistema.

Chkrootkit

Chkrootkit es otra solución muy popular para escanear su sistema en busca de rootkits, realiza una serie de comprobaciones útiles que pueden dirigirle la manera de identificar posibles vulnerabilidades.

$sudo apt-get install chkrootkit

Para escanear sólo tiene que ejecutar el siguiente comando:

$sudo chkrootkit

Chkrootkit que no sea Rkhunter no guarda ningún archivo de registro, sólo devuelve el resultado en el terminal. Si desea guardar el informe para analizar más adelante, utilice el comando tee para dirigir la devolución a un archivo de disco.

$sudo chkrootkit ? sudo tee /var/log/chkrootkit/chkrootkit.log

Ahora compruebe su archivo filtrando por advertencias:

$sudo cat /var/log/chkrootkit/chkrootkit.log advertencia grep -i

Chkrootkit puede ser muy útil para determinar si su máquina ha sido comprometida, pero no utilice como su única respuesta, siempre junto con otro programa para analizar aún más posibles daños a su instalación.

0 0 voto
Nota do Artigo
Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x