El malware está creciendo en Linux y los rootkits son un problema para los sistemas *nix desde hace tiempo. No es cierto que en sistemas *nix no haya que tener antivirus o descuidar la seguridad, quien piensa esto está muy equivocado. Aunque sean más seguros y las posibilidades de configuración nos permitan blindarlos de una mejor forma, no hay que descuidar la seguridad, puesto que esto hace que seamos vulnerables.
Por este motivo, te presentamos tres herramientas buenas que nos quitarán malware y rootkit de nuestra distro Linux. Estos tres proyectos nos ayudarán a mantener nuestro sistema limpio de amenazas. Uno de estos proyectos es chkrootkit, una herramienta en línea de comandos que nos ayudará a detectar rootkits. Otra es Lynis, una buena herramienta para auditar la seguridad y actúa también como rootkit scaner. Por último veremos ISPProject, un escaner para servidores web que nos ayudará a escanear malware.
Para instalar chkrootkit hacemos lo siguiente:
wget --pasive-ftp ftp://ftp.pangeia.com/br/pub/seg/pac/chkrootkit.tar.gz tar xvfz chkrootkit.tar.gz cd chkrootkit-*/ make sense cd .. mv chkrootkit-<version>/ /usr/local/chrootkit ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit
Para usarla, solo:
chkrootkit
La otra herramienta es Lynis como hemos dicho, para instalarla:
cd /tmp wget https://cisofy.com/files/lynis-2.1.1.tar.gz tar xvfz lynis-2.1.1.tar.gz mv lynis /usr/local/ ln -s /usr/local/lynis/lynis /usr/local/bin/lynis lynis update info
Ahora, podremos usarlo para rastrear nuestro sistema:
lynis audit system
Por último, la herramienta web ISPProtect, que necesitará previamente tener instalado PHP en nuestro equipo, si no lo tenemos ya, instalalo antes de.:
mkdir -p /usr/local/ispprotect chown -R root:root /usr/local/ispprotect chmod -R 750 /usr/local/ispprotect cd /usr/local/ispprotect wget http://www.ispprotect.com/download/ispp_scan.tar.gz tar xzf ispp_scan.tar.gz rm -f ispp_scan.tar.gz ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan
Esta última herramienta es especialmente buena para escanear equipos que actúan como servidores. Y para usarla:
ispp_scan
Rkhunter es muy superior a Chkrootkit. Cuidado con Chkrootkit, suele dar falsos positivos, muy buena la entrada y sobre todo la nota para crear tu propia distro. :D
Hola, por supuesto, hay más que los que yo he puesto en el artículo… Y como bien dices, se me olvidó comentar lo de los falsos positivos, pero es verdad que a veces detecta ficheros sospechosos que no son rootkits.
Un saludo!
Estoy contigo que Rkhunter es superior, por el tema de falsos positivos. De todas formas seria bueno que comentarais que hacer en el supuesto caso de que encontrara malware tanto en el programa Chkrootkit o Rkhunter, y si mediante estos programas, no se pudiera eliminar el bicho o malware en entornos unix o linux que pasos a seguir a continuación. También me gustaria saber si en estos entornos de Antimalware para unix tanto el programa Rkhunter o Chkrootkit hasta que punto son fiables y si las actualizaciones son constantes de definiciones de malware, porque hasta lo que se yo, sus actualizaciones de estos programas se actualizan muy de vez en cuando, incluso pueden pasar meses entre una actualización y otra.
También queria saber si el antivirus Clamav para entornos unix y linux en donde las actualizaciones de seguridad son mas regulares que Rkhunter y Chkrootkit si sirve solo para detectar y eliminar amenazas para windows en entorno unix, o elimina tanto amenazas para windows como tambien para entornos unix al mismo tiempo. Gracias
Yo tengo las mismas dudas que José. Pero bueno, supongo que ahora que nos están «atacando» más saldrá más información sobre como proteger Linux.
Últimas noticias para Linux referidas a su seguridad:
http://www.redeszone.net/2016/02/17/un-fallo-en-la-libreria-c-de-gnu-expone-la-seguridad-de-miles-de-aplicaciones-y-dispositivos-linux/
Últimas noticias de amenazas a la seguridad:
http://www.redeszone.net/2016/02/17/wajam-un-adware-que-se-utiliza-para-distribuir-troyanos-y-exploits/
Cómo eliminar Wajam:
https://www.bugsfighter.com/es/remove-wajam-ads/
Porqué debo bajar chkrootkit desde el desconocido y dudoso wget –pasive-ftp ftp://ftp.pangeia.com/br/pub/seg/pac/chkrootkit.tar.gz, si lo tengo en los repositorios de Ubuntu.