Tres herrameintas para escanear Rootkit y Malware en Linux

Rootkit

El malware está creciendo en Linux y los rootkits son un problema para los sistemas *nix desde hace tiempo. No es cierto que en sistemas *nix no haya que tener antivirus o descuidar la seguridad, quien piensa esto está muy equivocado. Aunque sean más seguros y las posibilidades de configuración nos permitan blindarlos de una mejor forma, no hay que descuidar la seguridad, puesto que esto hace que seamos vulnerables.

Por este motivo, te presentamos tres herramientas buenas que nos quitarán malware y rootkit de nuestra distro Linux. Estos tres proyectos nos ayudarán a mantener nuestro sistema limpio de amenazas. Uno de estos proyectos es chkrootkit, una herramienta en línea de comandos que nos ayudará a detectar rootkits. Otra es Lynis, una buena herramienta para auditar la seguridad y actúa también como rootkit scaner. Por último veremos ISPProject, un escaner para servidores web que nos ayudará a escanear malware.

Para instalar chkrootkit hacemos lo siguiente:


wget --pasive-ftp ftp://ftp.pangeia.com/br/pub/seg/pac/chkrootkit.tar.gz

tar xvfz chkrootkit.tar.gz

cd chkrootkit-*/

make sense

cd ..

mv chkrootkit-<version>/ /usr/local/chrootkit
ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Para usarla, solo:


chkrootkit

La otra herramienta es Lynis como hemos dicho, para instalarla:


cd /tmp

wget https://cisofy.com/files/lynis-2.1.1.tar.gz

tar xvfz lynis-2.1.1.tar.gz

mv lynis /usr/local/

ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

lynis update info

Ahora, podremos usarlo para rastrear nuestro sistema:


lynis audit system

Por último, la herramienta web ISPProtect, que necesitará previamente tener instalado PHP en nuestro equipo, si no lo tenemos ya, instalalo antes de.:


mkdir -p /usr/local/ispprotect

chown -R root:root /usr/local/ispprotect

chmod -R 750 /usr/local/ispprotect

cd /usr/local/ispprotect

wget http://www.ispprotect.com/download/ispp_scan.tar.gz

tar xzf ispp_scan.tar.gz

rm -f ispp_scan.tar.gz

ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Esta última herramienta es especialmente buena para escanear equipos que actúan como servidores. Y para usarla:


ispp_scan


8 comentarios

  1.   federico dijo

    Rkhunter es muy superior a Chkrootkit. Cuidado con Chkrootkit, suele dar falsos positivos, muy buena la entrada y sobre todo la nota para crear tu propia distro. :D

    1.    Isaac P. E. dijo

      Hola, por supuesto, hay más que los que yo he puesto en el artículo… Y como bien dices, se me olvidó comentar lo de los falsos positivos, pero es verdad que a veces detecta ficheros sospechosos que no son rootkits.

      Un saludo!

  2.   JOSÉ dijo

    Estoy contigo que Rkhunter es superior, por el tema de falsos positivos. De todas formas seria bueno que comentarais que hacer en el supuesto caso de que encontrara malware tanto en el programa Chkrootkit o Rkhunter, y si mediante estos programas, no se pudiera eliminar el bicho o malware en entornos unix o linux que pasos a seguir a continuación. También me gustaria saber si en estos entornos de Antimalware para unix tanto el programa Rkhunter o Chkrootkit hasta que punto son fiables y si las actualizaciones son constantes de definiciones de malware, porque hasta lo que se yo, sus actualizaciones de estos programas se actualizan muy de vez en cuando, incluso pueden pasar meses entre una actualización y otra.
    También queria saber si el antivirus Clamav para entornos unix y linux en donde las actualizaciones de seguridad son mas regulares que Rkhunter y Chkrootkit si sirve solo para detectar y eliminar amenazas para windows en entorno unix, o elimina tanto amenazas para windows como tambien para entornos unix al mismo tiempo. Gracias

  3.   Rubén dijo

    Yo tengo las mismas dudas que José. Pero bueno, supongo que ahora que nos están “atacando” más saldrá más información sobre como proteger Linux.

  4.   juanjp2012 dijo

    Porqué debo bajar chkrootkit desde el desconocido y dudoso wget –pasive-ftp ftp://ftp.pangeia.com/br/pub/seg/pac/chkrootkit.tar.gz, si lo tengo en los repositorios de Ubuntu.

Escribe un comentario