Los 5 mejores escáneres de malware y rootkits para servidores Linux
TLa teoría que convenció a la mayoría de nosotros de unirnos al universo del sistema operativo Linux es su naturaleza impenetrable. Estábamos emocionados de que el uso de un sistema operativo Linux no requiriera que tuviéramos un antivirus instalado en nuestros sistemas. Como las últimas afirmaciones pueden ser ciertas, debemos tener cuidado de no usar demasiados edulcorantes para construir suposiciones sobre las métricas de seguridad del sistema operativo Linux. No quisiéramos lidiar con ningún resultado de la diabetes en el mundo práctico.
El sistema operativo Linux no presenta riesgos en papel, pero se caracteriza por vulnerabilidades en un entorno de producción. Estas vulnerabilidades implican programas dañinos y centrados en el riesgo que incuban virus, rootkits y ransomware.
Si invierte sus habilidades para ser un administrador del sistema operativo Linux, necesita mejorar sus habilidades en medidas de seguridad, especialmente cuando se trata de servidores de producción. Las grandes marcas continúan invirtiendo para hacer frente a las nuevas amenazas de seguridad en evolución dirigidas al sistema operativo Linux. La evolución de estas medidas impulsa el desarrollo de herramientas de seguridad adaptativas. Detectan el malware y otras fallas en un sistema Linux e inician mecanismos útiles, correctivos y preventivos para contrarrestar las amenazas viables del sistema.
Afortunadamente, la comunidad de Linux no defrauda cuando se trata de distribución de software. En el mercado de software de Linux existen ediciones gratuitas y empresariales de malware y escáneres de rootkits. Por lo tanto, su servidor Linux no tiene que sufrir tales vulnerabilidades cuando existen alternativas de software de detección y prevención.
Lógica de vulnerabilidad de servidores Linux
Los ataques de alta penetración en un servidor Linux son evidentes a través de firewalls mal configurados y escaneos de puertos aleatorios. Sin embargo, es posible que esté consciente de la seguridad de su servidor Linux y programe actualizaciones diarias del sistema, e incluso se tome el tiempo para configurar sus firewalls correctamente. Estos prácticos enfoques administrativos y de seguridad del sistema de servidor Linux aportan una capa de seguridad adicional para ayudarle a dormir con la conciencia tranquila. Sin embargo, nunca puede estar realmente seguro si alguien ya está en su sistema y luego tiene que lidiar con interrupciones no planificadas del sistema.
Los escáneres de malware y rootkits Este artículo cubre los escaneos de seguridad básicos automatizados a través de programas para que no tenga que crear y configurar manualmente scripts para manejar los trabajos de seguridad por usted. Los escáneres pueden generar y enviar informes diarios por correo electrónico si se automatizan para que se ejecuten en el momento oportuno. Además, la contribución del conjunto de habilidades para la creación de estos escáneres nunca puede verse socavada. Son más pulidos y eficientes debido a la cantidad de personas involucradas en su desarrollo.
Escáneres de malware y rootkits de servidor Linux
1. Lynis
Esta eficaz herramienta de escaneo es un proyecto gratuito y de código abierto. Su aplicación popular en los sistemas Linux es la búsqueda de rootkits y la realización de auditorías de seguridad del sistema con regularidad. Es eficiente para detectar vulnerabilidades del sistema y revelar malware oculto en un sistema operativo Linux a través de análisis programados del sistema. La funcionalidad de Lynis es eficaz para hacer frente a los siguientes desafíos del sistema Linux:
- información y problemas de seguridad
- permisos de archivos / directorios
- Listado de software instalado en el sistema
Sin embargo, las medidas de endurecimiento del sistema que espera obtener de Lynis no están automatizadas. Es más un asesor de vulnerabilidades del sistema. Solo revelará los consejos necesarios para fortalecer el sistema para afectar las partes vulnerables o expuestas de su sistema de servidor Linux.
Cuando se trata de la instalación de Lynis en un sistema Linux, debe considerar tener acceso a su última versión. Actualmente, la última versión estable disponible es la 3.0.1. Puede utilizar los siguientes ajustes de comando para acceder a él desde las fuentes a través de su terminal.
tuts@FOSSlinux:~$ cd /opt/ tuts@FOSSlinux:/opt$ wget https://downloads.cisofy.com/lynis/lynis-3.0.1.tar.gz tuts@FOSSlinux:/opt$ tar xvzf lynis-3.0.1.tar.gz tuts@FOSSlinux:/opt$ mv lynis /usr/local/ tuts@FOSSlinux:/opt$ ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
No piense demasiado en los comandos secuenciales anteriores con respecto a Lynis. En resumen, nos trasladamos al /optar/ en nuestro sistema Linux antes de descargar la última versión de Lynis en él. Los paquetes de software de aplicación de la categoría de complementos se instalan en este /optar/ directorio. Extrajimos Lynis y lo movimos a la / usr / local directorio. Este directorio es conocido por los administradores de sistemas que prefieren la instalación local de su software como lo estamos haciendo ahora. El último comando crea un enlace físico o enlace simbólico al nombre del archivo Lynis. Queremos las múltiples apariciones del nombre Lynis en el / usr / local directorio para estar vinculado a la única aparición del nombre en el / usr / local / bin directorio de fácil acceso e identificación por parte del sistema.
La ejecución exitosa de los comandos anteriores debería dejarnos con una sola tarea entre manos; utilizando Lynis para escanear nuestro sistema Linux y realizar las comprobaciones de vulnerabilidad necesarias.
tuts@FOSSlinux:/opt$ sudo lynis audit system
Sus privilegios de Sudo deberían permitirle ejecutar el comando indicado cómodamente. Puede crear un trabajo cron a través de una entrada cron si desea automatizar Lynis para que se ejecute diariamente.
0 0 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "FOSSLinux Server Lynis Reports" username@youremaildomain.com
La entrada cron anterior escaneará y le enviará por correo electrónico un informe Lynis del estado de su sistema todos los días a la medianoche a la dirección de correo electrónico del administrador que usted especifique.
Sitio web de Lynis
2. Chkrootkit
Este escáner de sistema también se caracteriza por ser un proyecto gratuito y de código abierto. Es útil en la detección de rootkits. Un rootkit es un software malicioso que otorga acceso privilegiado a usuarios del sistema no autorizados. Realizará localmente las comprobaciones del sistema necesarias para detectar cualquier signo viable de un rootkit albergado en sistemas Linux y tipo Unix. Si sospecha de algún agujero de seguridad en su sistema, esta herramienta de escaneo le ayudará a obtener la claridad necesaria.
Dado que un rootkit intentará modificar los binarios de su sistema, Chkrootkit escaneará estos binarios del sistema y buscará modificaciones por parte de un rootkit. También escaneará y abordará los problemas de seguridad en su sistema a través de sus amplias funciones de programa.
Si está en un sistema basado en Debian, puede instalar fácilmente Chkrootkit mediante el siguiente comando tweak.
tuts@FOSSlinux:~$ sudo apt install chkrootkit
Usar chkrootkitPara ejecutar las exploraciones y comprobaciones necesarias del sistema, debe ejecutar el siguiente comando en su terminal.
tuts@FOSSlinux:~$ sudo chkrootkit
Un escenario de lo que desentrañará el comando anterior es el siguiente. Chkrootkit escaneará su sistema en busca de cualquier evidencia de rootkits o malware. La duración del proceso dependerá de la profundidad y el tamaño de las estructuras de archivos de su sistema. La finalización de este proceso revelará los informes resumidos necesarios. Por lo tanto, puede utilizar este informe chkrootkit generado para realizar las modificaciones de seguridad necesarias en su sistema Linux.
También puede crear un trabajo cron a través de una entrada cron para automatizar la ejecución diaria de Chkrootkit.
0 1 * * * /usr/local/bin/chkrootkit --quick 2>&1 | mail -s "FOSSLinux Server Chkrootkit Reports" username@youremaildomain.com
La entrada cron anterior escaneará y le enviará por correo electrónico un informe de Chkrootkit del estado de su sistema todos los días a las 01: 00hrs a la dirección de correo electrónico del administrador que usted especifique.
Sitio web de Chkrootkit
3. Rkhunter
El escáner también se caracteriza por ser un proyecto gratuito y de código abierto. Es una herramienta poderosa pero simple que funciona a favor de los sistemas compatibles con POSIX. El sistema operativo Linux se incluye en esta categoría de sistema. Los sistemas compatibles con POSIX tienen la capacidad de alojar programas UNIX de forma nativa. Por lo tanto, pueden portar aplicaciones a través de estándares como API para sistemas no compatibles con POSIX. La eficacia de Rkhunter (cazador de rootkits) está en el manejo de rootkits, puertas traseras y compromisos de exploits locales. Lidiar con amenazas o brechas de seguridad no debería ser un problema para Rkhunter debido a su historial de buena reputación.
Puede introducir Rkhunter en su sistema Ubuntu con el siguiente comando tweak.
tuts@FOSSlinux:~$ sudo apt install rkhunter
Si necesita escanear su servidor en busca de vulnerabilidades a través de esta herramienta, ejecute el siguiente comando.
tuts@FOSSlinux:~$ rkhunter -C
También puede crear un trabajo cron a través de una entrada cron para automatizar la ejecución diaria de Rkhunte.
0 2 * * * /usr/local/bin/rkhunter --quick 2>&1 | mail -s "FOSSLinux Server Rkhunter Reports" username@youremaildomain.com
La entrada cron anterior escaneará y le enviará por correo electrónico un informe de Rkhunter del estado de su sistema todos los días a las 02: 00hrs a la dirección de correo electrónico del administrador que usted especifique.
Sitio web de Rkhunter Rookit
4. ClamAV
Otro kit de herramientas de detección de vulnerabilidades de sistema de código abierto útil para el sistema operativo Linux es ClamAV. Su popularidad reside en su naturaleza multiplataforma, lo que significa que su funcionalidad no se limita a un sistema operativo específico. Es un motor antivirus que le informará sobre programas maliciosos como malware, virus y troyanos que se incuban en su sistema. Sus estándares de código abierto también se extienden al escaneo de puertas de enlace de correo debido a su compatibilidad proclamada con la mayoría de los formatos de archivos de correo.
Otros sistemas operativos se benefician de su funcionalidad de actualización de bases de datos de virus, mientras que los sistemas Linux disfrutan de la funcionalidad exclusiva de escaneo en tiempo real. Además, incluso si los archivos de destino están comprimidos o archivados, ClamAV escaneará formatos como 7Zip, Zip, Rar y Tar. Las características más detalladas de este kit de herramientas de software son suyas para explorar.
Puede instalar ClamAV en su sistema basado en Ubuntu o Debian a través del siguiente comando tweak.
tuts@FOSSlinux:~$ sudo apt install clamav
La instalación exitosa de este software antivirus debe ir seguida de la actualización de sus firmas en su sistema. Ejecute el siguiente comando.
tuts@FOSSlinux:~$ freshclam
Ahora puede escanear un directorio de destino usando el siguiente comando.
tuts@FOSSlinux:~$ clamscan -r -i /directory/path/
En el comando anterior, reemplace / directorio/sendero/ con la ruta al directorio real que desea escanear. Los parámetros -r y -i implican que la clamscan El comando pretende ser recursivo y revelar los archivos del sistema infectados (comprometidos).
Sitio web de ClamAV
5. LMD
Las métricas de diseño específicas de LMD lo hacen adecuado para exponer las vulnerabilidades de los entornos alojados compartidos. La herramienta es una abreviatura de Linux Malware Detect. Sin embargo, sigue siendo útil para detectar amenazas específicas en sistemas Linux más allá de un entorno alojado compartido. Si desea aprovechar todo su potencial, considere la posibilidad de integrarlo con ClamAV.
Su mecanismo de generación de informes del sistema lo actualizará sobre los resultados del análisis ejecutados actualmente y anteriormente. Incluso puede configurarlo para recibir alertas de informes por correo electrónico según el período en que se llevaron a cabo las ejecuciones de análisis.
El primer paso para instalar LMD es clonar el repositorio del proyecto vinculado a él. Por lo tanto, necesitaremos tener instalado git en nuestro sistema.
tuts@FOSSlinux:~$ sudo apt -y install git
Ahora podemos clonar LMD desde Github.
tuts@FOSSlinux:~$ git clone https://github.com/rfxn/linux-malware-detect.git
Luego debe navegar a la carpeta LMD y ejecutar su script de instalación.
tuts@FOSSlinux:~$ cd linux-malware-detect/
tuts@FOSSlinux:~$ sudo ./install.sh
Dado que LMD usa el maldet Command, está empaquetado con él. Por lo tanto, podemos usarlo para confirmar si nuestra instalación fue un éxito.
tuts@FOSSlinux:~$ maldet --version
Para usar LMD, la sintaxis de comando apropiada es la siguiente:
tuts@FOSSlinux:~$ sudo maldet -a /directory/path/
El siguiente comando tweak debería darle más información sobre cómo usarlo.
tuts@FOSSlinux:~$ maldet --help
Sitio web de detección de malware de LMD
Nota final
La lista de estos escáneres de malware y rootkit de servidor se basa en su índice de experiencia y popularidad de usuario. Si lo utilizan más usuarios, está dando los resultados deseados. Sería útil si no se apresurara a instalar un escáner de malware y rootkit sin descubrir las áreas vulnerables de su sistema que necesitan atención. Un administrador del sistema debe investigar primero las necesidades del sistema, usar el malware apropiado y los escáneres de raíz para resaltar las vulnerabilidades evidentes, luego trabajar en las herramientas y mecanismos apropiados que solucionarán el problema.
Deja una respuesta