Antivirus y anti rootkits para GNU/Linux

clamav

Si pensáis que no hay virus, o malware en general para Linux estáis equivocados, extensible a MAC OS X que desciende de Linux BSD.

Sobre todo en servidores Web, Mail y otros servicios que están expuestos a continuos ataques, posiblemente de lamers utilizando Kali, pero basta con que encuentren un software desactualizado para el que haya exploit conocido, para que os revienten el servidor, la web o lo que sea. Pero también es MUY recomendable que instaléis y utilicéis anti-malwares en vuestros sistemas de escritorio Linux-Based

Yo utilizo como antivirus clamav, que en el caso de servidores instalo como demonio, que queda residente y programo vía cron tanto el update (freshclam) como el escaneo bajo demanda.

Para la parte de anti rootkits utilizo hace años rkhunter, pero si os lleváis algún susto instalar un segundo para que no sudéis en caso de un posible falso positivo, como pasa en el proceso init de algunas distros Linux como Mint, sobre todo si no os habéis preocupado primero de generar la base de datos para que el motor anti rootkits detecte los cambios en archivos (por ejemplo tras una actualización de wget o cualquier otro paquete).

La alternativa que suelo utilizar es chkrootkit.

malware

malware

Un ejemplo de salida, sobre todo en los correos, es el caso de Malware basado en Javascript que viene en muchos emails hoy día como adjuntos:

/ruta/a/mail/nutsanddelights.com/t/i/e/tienda-2014.08.26.21.58.41/Maildir/.Junk/cur/1463675530.M413824P26162.mail,S=9382,W=9536:2,RSa: Win.Malware.Locky-20318 FOUND
/ruta/a/mail/nutsanddelights.com/t/i/e/tienda-2014.08.26.21.58.41/Maildir/.Junk/cur/1464204747.M500275P32241.mail,S=86215,W=87424:2,Sa: Doc.Dropper.Agent-1422729 FOUND
/ruta/a/mail/nutsanddelights.com/t/i/e/tienda-2014.08.26.21.58.41/Maildir/.Junk/cur/1459277416.M483874P30874.mail,S=6104,W=6210:2,Sa: Js.Trojan.Nemucod-2 FOUND

Al final produce una salida resumen, que no está mal en el caso del escaneo programado por cron, que os enviéis por email:

———– SCAN SUMMARY ———–
Known viruses: 4539267
Engine version: 0.99
Scanned directories: 35647
Scanned files: 96923
Infected files: 17
Data scanned: 13017.19 MB
Data read: 35591.53 MB (ratio 0.37:1)
Time: 1041.575 sec (17 m 21 s)

También es posible que encontréis en particiones NTFS virus tanto para Windows como para el propio Linux, troyanos, backdoors, son muy frecuentes en software de dudosa procedencia, o herramientas de seguridad:

/media/scripting-linux/iptables/Linux_Firewalls.pdf: Html.Phishing.Bank-184 FOUND
/media/estimasol/estimasol.exe: Win.Adware.Rootkit-11686 FOUND
/home/jose/Debian7x/Trabajo/moodledata/1/backupdata/copia_de_seguridad-ciclos-17102013-1136.zip: Win.Trojan.Kazy-6092 FOUND
/home/jose/Debian7x/Trabajo/moodledata/1/Software/unlocker1.8.6.exe: Win.Trojan.Agent-36206 FOUND
/home/jose/Debian7x/Trabajo/moodledata/1/Software/EliPen.exe: Win.Trojan.Kazy-6092 FOUND
/home/jose/Escritorio/mover/SoftonicDownloader_para_gimp.exe: Win.Trojan.Softonicdownloader-1 FOUND
/home/jose/Escritorio/mover/virusmails: Legacy.Trojan.Agent-1388588 FOUND
/usr/local/share/multisystem/EFI/BOOT/BOOTx64.EFI: Win.Trojan.Agent-1428496 FOUND
/usr/lib/linuxmint/mintWifi/drivers/i386/Dell_bcmwl5/bcmwl5.sys: Win.Trojan.Agent-1427312 FOUND

Un ejemplo de salida típico de rkhunter es este:

System checks summary
=====================

File properties checks…
Required commands check failed
Files checked: 139
Suspect files: 1

Rootkit checks…
Rootkits checked : 303
Possible rootkits: 0

Applications checks…
All checks skipped

The system checks took: 37 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Como bien dice ahí, en caso de algún hallazgo, sobre todo si lo ejecutáis en modo silencioso, hay que mirar el log.

Instalación del antivirus clamav

Para instalar la herramienta clamav, en sistemas Debian based basta con primero actualizar los repositorios, y aconsejable el sistema, para ello siempre tengo a mano un script como este:

cat actu.sh
aptitude update
aptitude upgrade

A continuación instalamos clamav:

aptitude install clamav

Y como siempre tengo un script:

cat scripts/scanear.sh
if [ $# -eq 1 ];then
freshclam
fi
clamscan -r –infected –log=/root/clamscan-`date +%d-%m-%y.log` –exclude-dir=^/sys\|^/proc\|^/dev /

El condicional lo utilizo simplemente como un flag para actualizar o no las bases de firmas.

virus

virus

Instalar y utilizar rkhunter

Rkhunter (Rootkit Hunter) es una herramienta que detecta rootkits, backdoors y exploits locales mediante la comparación de los hashes de ficheros importantes con su firma correcta en una base de datos en línea, buscando en directorios conocidos: permisos incorrectos, archivos ocultos, cadenas sospechosas en módulos del kernel, etc.

La instalación es sencilla, lo mismo que antes, primero conviene actualizar el sistema o al menos los repos.

aptitude install rkhunter

Tras la instalación tal y como dice la web oficial deberíamos crear una base de datos del sistema de archivos, para que en las próximas comprobaciones de rootkits no salten alarmas sin necesidad con la opción propupd:

rkhunter –update
rkhunter —propupd

Y como siempre para las cosas que uso frecuentemente tengo un script, las opciones son variadas, pero personalmente utilizo estas:

cat scripts/rk.sh
#!/bin/bash
echo «Rkhunter»
rkhunter –update
rkhunter -c –sk

Por último, suelo subir los ficheros a virustotal, genial herramienta de un malagueño que tristemente, o a lo mejor no para el equipo anterior, Google ha comprado.

virustotal

virustotal

Espero que os sirva, y sobre todo «no os asustéis» hay malware en Linux!

Si queréis salir del modo paranoia leed un poco más en esta web!

Se me olvidaba … compartid xD

ploff

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.