5 herramientas para escanear un servidor Linux

en busca de malware y rootkits

por Aaron Kili | Publicado: 9 de agosto de 2018 | Última actualización: 9 de agosto de 2018
Traducido por: Luis Verenzuela | moebius6357@gmail.com
Descargue sus libros electrónicos gratuitos AHORA - 10 libros electrónicos gratuitos de Linux para
administradores | 4 libros electrónicos gratuitos de shell scripting
Hay un nivel constante de ataques elevados y escaneos de puertos en servidores Linux todo el tiempo,
mientras que un firewall configurado correctamente y las actualizaciones regulares del sistema de
seguridad agregan una capa adicional para mantener el sistema seguro, pero también debe observar con
frecuencia si alguien entró. También ayuda a garantizar que su servidor se mantenga libre de cualquier
programa que tenga como objetivo interrumpir su funcionamiento normal.
Las herramientas presentadas en este artículo se crean para estos análisis de seguridad y son capaces de
identificar virus, Malwares, Rootkits y comportamientos malintencionados. Puede utilizar estas
herramientas para realizar análisis periódicos del sistema, por ejemplo, informes de todas las noches y
por correo a su dirección de correo electrónico.

1. Lynis - Auditoría de seguridad y escáner de rootkit

Lynis es una herramienta de escaneo y auditoría de seguridad de código abierto, potente y popular para
sistemas operativos similares a Unix / Linux. Es una herramienta de detección de vulnerabilidades y
escaneo de malware que analiza los sistemas en busca de información y problemas de seguridad,
integridad de archivos, errores de configuración; realiza auditorías de firewall, verifica el software
instalado, permisos de archivos / directorios y mucho más.
Es importante destacar que no realiza automáticamente el endurecimiento del sistema, sin embargo,
simplemente ofrece sugerencias que le permiten fortalecer su servidor .
Instalaremos la última versión de Lynis (es decir, 2.6.6 ) desde las fuentes, usando los siguientes
comandos.
# cd / opt /
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis / usr / local /
# ln -s / usr / local / lynis / lynis / usr / local / bin / lynis

Ahora puede realizar el escaneo de su sistema con el siguiente comando.

sistema de auditoria # lynis
Herramienta de auditoría de seguridad de Lynis Linux
Para ejecutar Lynis automáticamente cada noche, agregue la siguiente entrada cron, que se ejecutará a
las 3 am de la noche y enviará informes a su dirección de correo electrónico.
0 3 * * * / usr / local / bin / lynis --quick 2> & 1 | mail -s "Informes Lynis
de mi servidor" you@yourdomain.com

2. Chkrootkit - Un escáner de rootkit de Linux

Chkrootkit también es otro detector gratuito de rootkit de código abierto que localmente busca signos
de rootkit en sistemas similares a Unix. Ayuda a detectar agujeros ocultos de seguridad. El paquete
chkrootkit consiste en un script de shell que comprueba los binarios del sistema para la modificación
del rootkit y una serie de programas que verifican varios problemas de seguridad.
La herramienta chkrootkit se puede instalar usando el siguiente comando en los sistemas basados en
Debian.
 $ sudo apt install chkrootkit

En los sistemas basados en CentOS, debe instalarlo desde las fuentes utilizando los siguientes
comandos.
# yum actualización
# yum install wget gcc-c ++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir / usr / local / chkrootkit
# mv chkrootkit-0.52 / * / usr / local / chkrootkit
# cd / usr / local / chkrootkit
# tener sentido

Para verificar su servidor con Chkrootkit ejecute el siguiente comando.

$ sudo chkrootkit
O
# / usr / local / chkrootkit / chkrootkit

Una vez ejecutado, comenzará a revisar su sistema para detectar Malwares y Rootkits conocidos y, una
vez finalizado el proceso, podrá ver el resumen del informe.
Para ejecutar Chkrootkit automáticamente cada noche, agregue la siguiente entrada cron, que se
ejecutará a las 3 am de la noche y enviará informes a su dirección de correo electrónico.
0 3 * * * / usr / sbin / chkrootkit 2> & 1 | mail -s "chkrootkit Reports of My
Server" you@yourdomain.com

Rkhunter - A Linux Rootkit Scanners

RKH (RootKit Hunter) es una herramienta gratuita, de código abierto, potente, fácil de usar y bien
conocida para escanear puertas traseras, rootkits y exploits locales en sistemas compatibles con POSIX
como Linux. Como su nombre lo indica, se trata de una herramienta de análisis y monitoreo de
seguridad que busca inspeccionar a fondo un sistema para detectar agujeros de seguridad ocultos.
La herramienta rkhunter se puede instalar usando el siguiente comando en los sistemas basados en
Ubuntu y CentOS.
$ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter

Para verificar su servidor con rkhunter ejecute el siguiente comando.

# rkhunter -c

Para ejecutar rkhunter automáticamente cada noche, agregue la siguiente entrada cron, que se
ejecutará a las 3 am de la noche y enviará informes a su dirección de correo electrónico.
0 3 * * * / usr / sbin / rkhunter -c 2> & 1 | mail -s "rkhunter Reports of My
Server" you@yourdomain.com
4. ClamAV - Kit de herramientas de software antivirus
ClamAV es un motor de código abierto, versátil, popular y multiplataforma para detectar virus,
malware, troyanos y otros programas maliciosos en una computadora. Es uno de los mejores programas
antivirus gratuitos para Linux y el estándar de código abierto para el software de escaneo de pasarelas
de correo que admite casi todos los formatos de archivos de correo.
Es compatible con las actualizaciones de la base de datos de virus en todos los sistemas y el escaneado
en acceso solo en Linux. Además, puede escanear dentro de archivos y archivos comprimidos y es
compatible con formatos como Zip, Tar, 7Zip, Rar entre otros y más características.
ClamAV se puede instalar utilizando el siguiente comando en sistemas basados en Debian.
$ sudo apt-get install clamav

ClamAV se puede instalar utilizando el siguiente comando en sistemas basados en CentOS.

# yum -y actualizar
# yum -y install clamav

Una vez instalado, puede actualizar las firmas y escanear un directorio con los siguientes comandos.
# freshclam
# clamscan -r -i DIRECTORIO

Donde DIRECTORIO es la ubicación para escanear. Las opciones -r , significa escaneo recursivo y
-i significa mostrar solo los archivos infectados.

5. LMD - Linux Malware Detect

LMD (Linux Malware Detect) es un escáner de malware de código abierto, potente y con todas las
funciones para Linux específicamente diseñado y dirigido a entornos de alojamiento compartido, pero
puede usarse para detectar amenazas en cualquier sistema Linux. Se puede integrar con el motor del
escáner ClamAV para un mejor rendimiento.
Proporciona un sistema de informes completo para ver los resultados del análisis actual y anterior,
admite informes de alertas por correo electrónico después de cada ejecución del análisis y muchas otras
características útiles.
Para la instalación y el uso de LMD, lea nuestro artículo Cómo instalar y usar Linux Malware Detect
(LMD) con ClamAV como motor antivirus .
¡Eso es todo por ahora! En este artículo, compartimos una lista de 5 herramientas para analizar un
servidor Linux en busca de malware y rootkits. Háganos saber sus pensamientos en la sección de
comentarios.