Comprueba la seguridad de tu servidor linux en busca de malware y rootkits

Buenas a todos hoy les traigo algunas herramientas que te pueden facilitar el escaneo y comprobación de tus servidores que emplean GNU/Linux para encontrar algunas vulnerabilidades o malwares que puedan existir.

Hoy en día existe un gran volumen de diferentes ataques de todo tipo a los servidores, gran parte de esos ataques son escaneos de puertos para ver los servicios que están disponibles en los mismos. Mientras que uses un firewall configurado correctamente y las actualizaciones regulares del sistema de seguridad, que te permitan mantener una capa de seguridad adicional. Mientras deberás analizar con frecuencia si alguien ingresó, también debes garantizar que tu servidor se mantenga libre de cualquier programa que tenga como objetivo interrumpir su funcionamiento normal, como malwares.

Las herramientas presentadas en este artículo están creadas para este fin, analizar la seguridad y permitir identificar virus, malware, rootkits así como comportamientos maliciosos. Puedes utilizar estas herramientas para realizar exploraciones periódicas del sistema, p. Ej. todas las noches y que envíe informes por correo.

1. Lynis – Auditoría de seguridad y escáner de rootkits

Lynis es una herramienta de análisis y auditoría de seguridad gratuita, de código abierto, potente y popular para sistemas operativos GNU/Linux. Es una herramienta de escaneo de malware y detección de vulnerabilidades que escanea los sistemas en busca de información y problemas de seguridad, integridad de archivos, errores de configuración; realiza auditorías de firewall, verifica el software instalado, permisos de archivos / directorios y mucho más.

Es importante destacar que no realiza automáticamente ningún refuerzo del sistema, sin embargo, simplemente ofrece sugerencias que le permiten fortalecer su servidor.

Instalaremos la última versión de Lynis (es decir, 3.0.1) de las fuentes, usando los siguientes comandos.

Ahora puede realizar un escaneo de su sistema con el siguiente comando.

Para ejecutar Lynis automáticamente todas las noches, agregue la siguiente entrada al cron, que se ejecutará a las 3 am de la madrugada y enviará un informes a su dirección de correo electrónico.

2. Chkrootkit: un escáner de rootkit para Linux

Chkrootkit es también otro detector de rootkit gratuito y de código abierto que busca localmente signos de un rootkit en sistemas similares a Unix. Ayuda a detectar agujeros de seguridad ocultos. El paquete chkrootkit consta de un script de shell que verifica los binarios del sistema en busca de modificaciones de rootkit y varios programas que verifican varios problemas de seguridad.

La herramienta chkrootkit se puede instalar usando el siguiente comando en sistemas basados en Debian.

En los sistemas basados en CentOS, debe instalarlo desde las fuentes utilizando los siguientes comandos.

Para verificar su servidor con Chkrootkit, ejecute el siguiente comando.

Una vez ejecutado, comenzará a verificar su sistema en busca de Malwares y Rootkits conocidos y, una vez finalizado el proceso, podrá ver el resumen del informe.

Para ejecutar Chkrootkit automáticamente todas las noches, agregue la siguiente entrada cron, que se ejecutará a las 3 am de la noche y enviará informes a su dirección de correo electrónico.

3. Rkhunter: escáneres de rootkit de Linux

RKH (RootKit Hunter) es una herramienta gratuita, de código abierto, potente, fácil de usar y bien conocida para escanear puertas traseras, rootkits y exploits locales en sistemas compatibles con POSIX como Linux. Como su nombre lo indica, es un buscador de rootkits, una herramienta de monitoreo y análisis de seguridad que inspecciona a fondo un sistema para detectar agujeros de seguridad ocultos.

La herramienta rkhunter se puede instalar usando el siguiente comando en sistemas basados en Ubuntu y CentOS.

Para verificar su servidor con rkhunter, ejecute el siguiente comando.

Para que rkhunter se ejecute automáticamente todas las noches, agregue la siguiente entrada cron, que se ejecutará a las 3 am de la noche y enviará informes a su dirección de correo electrónico.

4. ClamAV – Kit de herramientas de software antivirus

ClamAV es un motor antivirus de código abierto, versátil, popular y multiplataforma para detectar virus, malware, troyanos y otros programas maliciosos en una computadora. Es uno de los mejores programas antivirus gratuitos para Linux y el estándar de código abierto para el escaneo de archivos a travez de servidores de correo.

Admite actualizaciones de bases de datos de virus en todos los sistemas y análisis en tiempo real solo en Linux. Además, puede escanear archivos y archivos comprimidos y admite formatos como Zip, Tar, 7Zip, Rar, entre otros, y más funciones.

El ClamAV se puede instalar usando el siguiente comando en sistemas basados en Debian.

Una vez instalado, puede actualizar las firmas y escanear un directorio con los siguientes comandos.

Donde DIRECTORY es la ubicación para escanear. Las opciones -r significa escanear recursivamente y -i significa mostrar solo los archivos infectados.

5. AIDE

AIDE (Entorno avanzado de detección de intrusiones), es un sistema de detección de intrusiones (HIDS) basado en host que verifica la integridad de los archivos. Para ello, crea una base de datos del sistema inicial, y la compara con las ejecuciones actuales.

Entre las propiedades de archivos que se verifican, se incluyen: inodos, permisos, ultima modificación, contenido, etc…

AIDE realiza exclusivamente verificaciones de la integridad de los archivos. No busca rootkits ni analiza archivos de registro para detectar actividades sospechosas.

Puedes instalarlo en Ubuntu y derivados con el siguiente comando:

Para completar el proceso de instalación, debes configurar Postfix a través de las opciones que te presentan. Puedes moverte por la opciones con la tecla «TAB«, y marcar el «Enter«.
AIDE hace uso de Postfix para enviar datos.

Creamos el archivo de los datos, hacemos uso de…
/var/lib/aide
/etc/aide

Creamos el archivo de datos y la propia configuración:

Movemos los archivos originales.

Actualizamos la configuración.

Lo copiamos a una carpeta valida.

Reinicia el servidor.

La herramienta debería funcionar correctamente, si quieres modificar su configuración, lo puedes hacer desde…

6. LMD – Linux Malware Detect

LMD (Linux Malware Detect) es un escáner de malware de código abierto, potente y con todas las funciones para Linux, diseñado y dirigido específicamente a entornos alojados compartidos, pero que se puede utilizar para detectar amenazas en cualquier sistema Linux. Se puede integrar con el motor del escáner ClamAV para un mejor rendimiento.

Proporciona un sistema de informes completo para ver los resultados de análisis actuales y anteriores, admite informes de alerta por correo electrónico después de cada ejecución de análisis y muchas otras funciones útiles.

Ejemplo practico de deteccion de rootkit

Ahora les explico como detectar de una manera rapida la existencia de un rootkit en su sistema linux.

La mejor variante para ver si hay un proceso de rootkit esta corriendo es revisar si hay alguna aplicacion consumiendo demasiada RAM o CPU o con un nombre aleatorio para ello usamos el comando top de no encontrar nada extraño, corren este comando para que le de una informacion mas amplida del proceso para pararlo, no matarlo pues sino se autoregeneraria:

Observe el bvxktwwnsb y el rguoywvrf

Verifique el archivo /etc/crontab. Probablemente tenga una entrada para llamar al virus cada 3 minutos

Elimina esta línea.

Esto puede variar pero casi siempre mantienen la misma conducta o acciones

Pasamos a darle STOP a dicho proceso, no matarlo en eso nos fijamos en el PID de cada uno y ejecutamos

Una vez parados procedemos a localizar todos los archivos de dichos proceso

Ya una vez identificados donde estan los archivos del proceso procedemos a eliminarlos y parar dicho proceso.

Ya una vez eliminado el proceso activo procedemos a verificar el archivo del crontab a ver que operacion ejecutaba el mismo.

Como notaras la fuente donde esta el daemon del rootkit es el archivo /lib/libudev.so ya idenficado procedemos tambien a eliminarlo:

y a su vez al archivo del cron /etc/cron.hourly/cron.sh

Ya una vez desinfectado reinicias y revisas que cuando inicie el sistema no se vuelva a activar el rootkit de ser asi es que todavia queda alguna otra ubicacion, de igual manera ejecutan la herramienta antes mencionada aca rkhunter para revisar su sistema.

¡Eso es todo por ahora! En este artículo, compartimos una lista de 6 herramientas para escanear un servidor Linux en busca de malware y rootkits. Háganos saber sus experiencias en la sección de comentarios.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 5 / 5. Recuento de votos: 8

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Sobre Armando Felipe Fuentes Denis 77 artículos
Network Administrator and Telematic Services in Federation of Radio Amateurs of Cuba Residencia: Regla, La Habana Email: [email protected] Movil: +53 58319403 Web:www.armandof.com

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*