4 herramientas para escanear un servidor Linux en busca de malware y rootkits

Iniciado por graphixx, Agosto 20, 2018, 11:07:11 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



Hay un alto nivel de ataques a servidores linux todo el tiempo. Un buen firewall y actualizaciones constantes agrega una capa de seguridad adicional. Pero siempre es necesario mantener un escaneo constante de nuestro sistema.

Las herramientas presentadas aqui son capaces de identificar virus, malware, rootkits y comportamientos maliciosos. Puedes usar estas herramientas para realizar escaneos del sistema con regularidad, por ejemplo. todas las noches y enviar informes por correo a tu dirección de correo electrónico.

1- LMD – Linux Malware Detect

LMD (Linux Malware Detect) es un potente escaner de malware de codigo abierto para Linux, específicamente diseñado y dirigido a entornos alojados, pero que se puede utilizar para detectar amenazas en cualquier sistema Linux. Se puede integrar con el motor de escáner ClamAV para un mejor rendimiento.

Proporciona un sistema completo de informes para ver los resultados de análisis actuales y anteriores, soporta el envio de alertas por correo electrónico después de cada ejecución del análisis y muchas otras funciones útiles.

2- ClamAV – Antivirus Software Toolkit

ClamAV es un motor antivirus de código abierto, versátil, popular y multiplataforma para detectar virus, malware, troyanos y otros programas maliciosos en una computadora. Es uno de los mejores programas antivirus gratuitos para Linux y el estándar de código abierto para el software de escaneo de gateway de correo que soporta casi todos los formatos de archivos de correo.

Soporta actualizaciones de bases de datos de virus en todos los sistemas y escaneos en acceso solo en Linux. Además, puede escanear dentro de archivos y archivos comprimidos y admite formatos como Zip, Tar, 7Zip, Rar entre otros y muchas otras características.

El ClamAV se puede instalar usando el siguiente comando en sistemas basados ​​en Debian.
Código: php

user@computer:$ $ sudo apt-get install clamav


ClamAV se puede instalar usando el siguiente comando en sistemas basados ​​en CentOS.
Código: php

user@computer:$ # yum -y update
# yum -y install clamav


Una vez instalado, puede actualizar las firmas y escanear un directorio con los siguientes comandos.
Código: php

user@computer:$ # freshclam
# clamscan -r -i DIRECTORY


Donde DIRECTORIO es la ubicación para escanear. Las opciones -r, significa escaneo recursivo y -i significa solo mostrar los archivos infectados.

3- Rkhunter – A Linux Rootkit Scanners

RKH (RootKit Hunter) es una herramienta gratuita, de código abierto, potente, fácil de usar y conocida para escanear puertas traseras, rootkits y exploits locales en sistemas compatibles con POSIX, como Linux. Como su nombre lo indica, es un buscador de rootkits, herramienta de monitoreo y análisis de seguridad que inspecciona minuciosamente un sistema para detectar agujeros de seguridad ocultos.

La herramienta rkhunter se puede instalar usando el siguiente comando en los sistemas basados ​​en Ubuntu y CentOS.
Código: php

user@computer:$ $ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter


Para verificar su servidor con rkhunter, ejecute el siguiente comando.
Código: php

user@computer:$ # rkhunter -c


Para ejecutar run rkhunter automáticamente cada noche, agregue la siguiente entrada cron, que se ejecutará a las 3 de la noche y enviará informes a su dirección de correo electrónico.
Código: php

user@computer:$ 0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email protected]


4- Chkrootkit – A Linux Rootkit Scanners

Chkrootkit es también otro detector de rootkit gratuito y de código abierto que localmente busca signos de un rootkit en un sistema tipo Unix. Ayuda a detectar agujeros de seguridad ocultos. El paquete chkrootkit consta de un script de shell que verifica los binarios del sistema para la modificación del rootkit y una serie de programas que verifican varios problemas de seguridad.

La herramienta chkrootkit se puede instalar usando el siguiente comando en sistemas basados ​​en Debian.
Código: php

user@computer:$ $ sudo apt install chkrootkit


En los sistemas basados ​​en CentOS, debe instalarlo desde las fuentes mediante los siguientes comandos.
Código: php

user@computer:$ # yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense


Para verificar su servidor con Chkrootkit, ejecute el siguiente comando.
Código: php

user@computer:$ $ sudo chkrootkit
OR
# /usr/local/chkrootkit/chkrootkit


Una vez ejecutado, comenzará a verificar su sistema en busca de Malwares y Rootkits conocidos y, una vez que el proceso haya finalizado, podrá ver el resumen del informe.

Para ejecutar Chkrootkit automáticamente cada noche, agregue la siguiente entrada cron, que se ejecutará a las 3 de la noche y enviará informes a su dirección de correo electrónico.
Código: php

user@computer:$ 0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email protected]


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Mi Blog Personal
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Excelente como siempre @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Son buenas tools. Saludos