Comportamiento inesperado en un servidor Linux o escritorio puede ser el resultado de alguna infección de malware y necesita ser investigado tan pronto como sea posible. Los ordenadores Linux tienen una reputación equivocada por ser completamente seguros y libres de virus, aunque las capas de seguridad y autenticación sudo contribuyen a un sistema operativo más seguro, esta afirmación termina llevando a muchos usuarios a descuidar sus instalaciones y, en consecuencia, su seguridad. Periódicamente escanear su ordenador linux con programas especializados está muy indicado, especialmente para aquellas personas que tienen el hábito de ejecutar cualquier código de Internet con sudo, no hacer eso, en serio!
Hay excelentes programas que pueden ayudar a identificar sistemas comprometidos y amenazas potenciales en su máquina. En este artículo cubriremos 3 programas que utilizo y recomiendo:
- ClamAV, Año Nuevo
- Antivirus Sophos
- Rkhunter
- Chkrootkit
Actualice la información del paquete
En primer lugar actualizaremos los paquetes de nuestro sistema operativo:
$ sudo apt-get instalar clamav clamav-daemon
ClamAV, Año Nuevo
ClamAV es un antivirus de código abierto muy popular y está disponible en múltiples plataformas, incluyendo la mayoría de las distribuciones de Linux.
Instale con el siguiente comando:
$ sudo apt-get instalar clamav clamav-daemon
Después de la instalación tenemos que actualizar la base de datos del antivirus ClamAV :
$sudo frescosclam
Ahora que nuestro antivirus está actualizado podemos comenzar nuestra investigación escaneando la carpeta de inicio:
$ sudo clamscan -r /home
Si todo sucede como se esperaba y no hay ningún archivo infectado en su carpeta de inicio, el comando no devuelve nada.
¿Cómo probar si el antivirus realmente funciona?
Para probar podemos descargar un archivo inofensivo que está destinado a ser fácilmente identificable por antivirus. Gire el siguiente comando para descargar el programa en su carpeta de inicio:
$wget -P //http://www.eicar.org/download/eicar.com
Ahora vuelva a escanear su carpeta de inicio con los mismos comandos que el primer paso y tenga en cuenta que recibirá un mensaje de que se ha identificado un archivo infectado. Ahora que ha confirmado que funciona, ejecute el siguiente comando para escanear y eliminar el archivo infectado:
$ sudo clamscan --infected --elimina --recursive /home
Tenga mucho cuidado al ejecutar el comando con la opción de eliminación, siempre ejecute un análisis inicial sin él para no eliminar los archivos que se pueden identificar falsamente por error.
Para realizar un análisis completo de su servidor, ejecute el siguiente comando:
$ sudo clamscan --infected --recursive --exclude-dir-"/sys" /
Este comando comprueba todos los directorios de forma recursiva, omitiendo solo la carpeta /sys para evitar alertas innecesarias.
Antivirus Sophos
Para instalar sophos antivirus necesitamos crear una cuenta en el sitio web oficial y aceptar los términos para descargar el archivo tarball que contiene la instalación.
Descargar en algún lugar de fácil acceso y extraer el archivo tarball:
$ alquitrán xzf sav-linux-free-9.tgz
Vaya a la carpeta extraída y ejecute la instalación del script:
$ cd sophos-av
$sudo ./install.sh
Aceptar el Acuerdo de licencia de usuario final (EULA)
Tan pronto como se inicia el instalador, necesitamos aceptar el contrato de licencia. Vaya al final y acepte continuar con la instalación:
...
Acepto el Acuerdo de licencia de usuario final de Sophos y reconozco la Política de privacidad de Sophos. Sí(Y)/No(N)[N]
> Y
Seleccione la ubicación de instalación. De forma predeterminada, la instalación se producirá en la carpeta /opt/sophos-av:
¿Dónde desea instalar Sophos Anti-Virus?[/opt/sophos-av]
> ENTER
A continuación podemos elegir activar el "modo de escaneo en tiempo real", te recomiendo que actives:
¿Desea habilitar el análisis en tiempo real? Sí(Y)/No(N)[Y]
> ENTER
Ahora Sophos le pedirá permiso para actualizar automáticamente, le recomendamos que habilite siempre ponerse al día con el nuevo malware identificado:
Sophos recomienda configurar Sophos Anti-Virus para que se actualice automáticamente.
Puede actualizarse directamente desde Sophos (requiriendo detalles de nombre de usuario/contraseña) o desde su propio servidor (directorio o sitio web (posiblemente
nombre de usuario/contraseña)).
¿Qué tipo de actualización automática desea? Desde Sophos/Desde el propio servidor/Ninguno(n)[s]
> ENTER
Ahora seleccione la versión gratuita escribiendo "f" y presionando enter.
¿Desea instalar la versión gratuita (f) o compatible (s) de SAV para Linux?[s]
> f
Después de que todas las preguntas han terminado y la instalación también, un resultado similar a la siguiente debe ser devuelto:
Obtención de credenciales de actualización gratuita.
Instalación de Sophos Anti-Virus....
Selección del soporte adecuado del kernel...
Instalación completada.
Su equipo ahora está protegido por Sophos Anti-Virus.
Esto significa que Sophos Antivirus se ha instalado correctamente y ya está protegiendo su equipo.
Comandos importantes para el uso de Sophos Antivirus
Compruebe si Sophos Antivirus se está ejecutando:
$ /opt/sophos-av/bin/savdstatus
Sophos Anti-Virus está activo y el análisis en tiempo real se está ejecutando
Activar o desactivar la carga al iniciar el sistema:
$/opt/sophos-av/bin/savdctl
$ /opt/sophos-av/bin/savdctl disableOnBoot
Activar o desactivar el "modo de acceso" de Sophos Antivirus:
/opt/sophos-av/bin/savdctl enable ?
/opt/sophos-av/bin/savdctl disable ( Desactivar
Realice un análisis bajo demanda:
$savscan/home/shadowlik
Rkhunter
Rkhunter es una solución muy famosa para escanear su sistema en busca de rootkits y otras vulnerabilidades. La instalación está disponible directamente desde la gestión de paquetes:
$sudo apt-get install rkhunter
Una vez instalado, antes de empezar a escanear el equipo, necesitamos actualizar su banco de propiedades:
$sudo rkhunter --propupd
Esto permite al programa conocer el estado actual de algunos archivos para evitar alertas falsas. Ahora vamos a iniciar el análisis:
$sudo rkhunter --checkall
El programa busca algunos comandos estándar del sistema, la comprobación de rootkits, algunos programas maliciosos y también la configuración de red. El resultado del análisis se muestra en el terminal y se guarda en un archivo de registro con el resumen de la operación.
Para comprobar el resultado guardado en el archivo de registro:
$sudo cat /var/log/rkhunter.log ? advertencia grep -i
Lea el informe con calma y considere los consejos para mejorar su sistema.
Chkrootkit
Chkrootkit es otra solución muy popular para escanear su sistema en busca de rootkits, realiza una serie de comprobaciones útiles que pueden dirigirle la manera de identificar posibles vulnerabilidades.
$sudo apt-get install chkrootkit
Para escanear sólo tiene que ejecutar el siguiente comando:
$sudo chkrootkit
Chkrootkit que no sea Rkhunter no guarda ningún archivo de registro, sólo devuelve el resultado en el terminal. Si desea guardar el informe para analizar más adelante, utilice el comando tee para dirigir la devolución a un archivo de disco.
$sudo chkrootkit ? sudo tee /var/log/chkrootkit/chkrootkit.log
Ahora compruebe su archivo filtrando por advertencias:
$sudo cat /var/log/chkrootkit/chkrootkit.log advertencia grep -i
Chkrootkit puede ser muy útil para determinar si su máquina ha sido comprometida, pero no utilice como su única respuesta, siempre junto con otro programa para analizar aún más posibles daños a su instalación.
