Tres herrameintas para escanear Rootkit y Malware en Linux

Isaac | | Administración Sistema, GNU / Linux

8 Comentarios

Rootkit

El malware está creciendo en Linux y los rootkits son un problema para los sistemas *nix desde hace tiempo. No es cierto que en sistemas *nix no haya que tener antivirus o descuidar la seguridad, quien piensa esto está muy equivocado. Aunque sean más seguros y las posibilidades de configuración nos permitan blindarlos de una mejor forma, no hay que descuidar la seguridad, puesto que esto hace que seamos vulnerables.

Por este motivo, te presentamos tres herramientas buenas que nos quitarán malware y rootkit de nuestra distro Linux. Estos tres proyectos nos ayudarán a mantener nuestro sistema limpio de amenazas. Uno de estos proyectos es chkrootkit, una herramienta en línea de comandos que nos ayudará a detectar rootkits. Otra es Lynis, una buena herramienta para auditar la seguridad y actúa también como rootkit scaner. Por último veremos ISPProject, un escaner para servidores web que nos ayudará a escanear malware.

Para instalar chkrootkit hacemos lo siguiente:


wget --pasive-ftp ftp://ftp.pangeia.com/br/pub/seg/pac/chkrootkit.tar.gz

tar xvfz chkrootkit.tar.gz

cd chkrootkit-*/

make sense

cd ..

mv chkrootkit-<version>/ /usr/local/chrootkit
ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Para usarla, solo:


chkrootkit

La otra herramienta es Lynis como hemos dicho, para instalarla:


cd /tmp

wget https://cisofy.com/files/lynis-2.1.1.tar.gz

tar xvfz lynis-2.1.1.tar.gz

mv lynis /usr/local/

ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

lynis update info

Ahora, podremos usarlo para rastrear nuestro sistema:


lynis audit system

Por último, la herramienta web ISPProtect, que necesitará previamente tener instalado PHP en nuestro equipo, si no lo tenemos ya, instalalo antes de.:


mkdir -p /usr/local/ispprotect

chown -R root:root /usr/local/ispprotect

chmod -R 750 /usr/local/ispprotect

cd /usr/local/ispprotect

wget http://www.ispprotect.com/download/ispp_scan.tar.gz

tar xzf ispp_scan.tar.gz

rm -f ispp_scan.tar.gz

ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Esta última herramienta es especialmente buena para escanear equipos que actúan como servidores. Y para usarla:


ispp_scan

El contenido del artículo se adhiere a nuestros principios de ética editorial. Para notificar un error pincha aquí.

8 comentarios, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   federico dijo
    hace 7 años

    Rkhunter es muy superior a Chkrootkit. Cuidado con Chkrootkit, suele dar falsos positivos, muy buena la entrada y sobre todo la nota para crear tu propia distro. :D

    Responder a federico
    1.    Isaac P. E. dijo
      hace 7 años

      Hola, por supuesto, hay más que los que yo he puesto en el artículo… Y como bien dices, se me olvidó comentar lo de los falsos positivos, pero es verdad que a veces detecta ficheros sospechosos que no son rootkits.

      Un saludo!

      Responder a Isaac P. E.
  2.   JOSÉ dijo
    hace 7 años

    Estoy contigo que Rkhunter es superior, por el tema de falsos positivos. De todas formas seria bueno que comentarais que hacer en el supuesto caso de que encontrara malware tanto en el programa Chkrootkit o Rkhunter, y si mediante estos programas, no se pudiera eliminar el bicho o malware en entornos unix o linux que pasos a seguir a continuación. También me gustaria saber si en estos entornos de Antimalware para unix tanto el programa Rkhunter o Chkrootkit hasta que punto son fiables y si las actualizaciones son constantes de definiciones de malware, porque hasta lo que se yo, sus actualizaciones de estos programas se actualizan muy de vez en cuando, incluso pueden pasar meses entre una actualización y otra.
    También queria saber si el antivirus Clamav para entornos unix y linux en donde las actualizaciones de seguridad son mas regulares que Rkhunter y Chkrootkit si sirve solo para detectar y eliminar amenazas para windows en entorno unix, o elimina tanto amenazas para windows como tambien para entornos unix al mismo tiempo. Gracias

    Responder a JOSÉ
  3.   Rubén dijo
    hace 7 años

    Yo tengo las mismas dudas que José. Pero bueno, supongo que ahora que nos están «atacando» más saldrá más información sobre como proteger Linux.

    Responder a Rubén
  4.   JOSÉ dijo
    hace 7 años

    Últimas noticias para Linux referidas a su seguridad:
    http://www.redeszone.net/2016/02/17/un-fallo-en-la-libreria-c-de-gnu-expone-la-seguridad-de-miles-de-aplicaciones-y-dispositivos-linux/

    Responder a JOSÉ
  5.   JOSÉ dijo
    hace 7 años

    Últimas noticias de amenazas a la seguridad:
    http://www.redeszone.net/2016/02/17/wajam-un-adware-que-se-utiliza-para-distribuir-troyanos-y-exploits/

    Responder a JOSÉ
  6.   JOSÉ dijo
    hace 7 años

    Cómo eliminar Wajam:
    https://www.bugsfighter.com/es/remove-wajam-ads/

    Responder a JOSÉ
  7.   juanjp2012 dijo
    hace 7 años

    Porqué debo bajar chkrootkit desde el desconocido y dudoso wget –pasive-ftp ftp://ftp.pangeia.com/br/pub/seg/pac/chkrootkit.tar.gz, si lo tengo en los repositorios de Ubuntu.

    Responder a juanjp2012