Hay un nivel constante de altos ataques y escaneos de puertos en los servidores Linux todo el tiempo, mientras que un firewall correctamente configurado y las actualizaciones regulares del sistema de seguridad añaden una capa extra para mantener el sistema seguro, pero también debe vigilar con frecuencia si alguien entró. Esto también ayuda a asegurar que su servidor se mantiene libre de cualquier programa que pretende interrumpir su funcionamiento normal.
Las herramientas presentadas en este artículo son creadas para estos escaneos de seguridad y son capaces de identificar Virus, Malwares, Rootkits, y comportamientos maliciosos. Puede utilizar estas herramientas para realizar escaneos regulares del sistema, por ejemplo, cada noche, y enviar los informes a su dirección de correo electrónico.
Lynis – Security Auditing and Rootkit Scanner
Lynis es una herramienta de auditoría y escaneo de seguridad gratuita, de código abierto, potente y popular para sistemas operativos tipo Unix/Linux. Es una herramienta de escaneo de malware y detección de vulnerabilidades que escanea los sistemas en busca de información y problemas de seguridad, integridad de archivos, errores de configuración; realiza auditorías de cortafuegos, comprueba el software instalado, los permisos de archivos/directorios y mucho más.
Importante, no realiza automáticamente ningún endurecimiento del sistema, sin embargo, simplemente ofrece sugerencias que le permiten endurecer su servidor.
Instalaremos la última versión de Lynis (es decir, 2.6.6) desde las fuentes, utilizando los siguientes comandos.
# cd /opt/# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz# tar xvzf lynis-2.6.6.tar.gz# mv lynis /usr/local/# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Ahora puede realizar el escaneo de su sistema con el siguiente comando.
# lynis audit system
Para hacer que Lynis se ejecute automáticamente cada noche, añada la siguiente entrada de cron, que se ejecutará a las 3 de la madrugada y enviará informes a su dirección de correo electrónico.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server"
Chkrootkit – A Linux Rootkit Scanners
Chkrootkit es también otro detector de rootkit gratuito y de código abierto que comprueba localmente los signos de un rootkit en un sistema tipo Unix. Ayuda a detectar agujeros de seguridad ocultos. El paquete chkrootkit consiste en un script de shell que comprueba los binarios del sistema en busca de modificaciones de rootkit y una serie de programas que comprueban varios problemas de seguridad.
La herramienta chkrootkit se puede instalar utilizando el siguiente comando en sistemas basados en Debian.
$ sudo apt install chkrootkit
En sistemas basados en CentOS, es necesario instalarlo desde las fuentes utilizando los siguientes comandos.
# yum update# yum install wget gcc-c++ glibc-static# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz# tar –xzf chkrootkit.tar.gz# mkdir /usr/local/chkrootkit# mv chkrootkit-0.52/* /usr/local/chkrootkit# cd /usr/local/chkrootkit# make sense
Para comprobar su servidor con Chkrootkit ejecute el siguiente comando.
$ sudo chkrootkit OR# /usr/local/chkrootkit/chkrootkit
Una vez ejecutado, empezará a comprobar su sistema en busca de Malwares y Rootkits conocidos y una vez finalizado el proceso, podrá ver el resumen del informe.
Para hacer que Chkrootkit se ejecute automáticamente cada noche, añada la siguiente entrada cron, que se ejecutará a las 3 de la madrugada y enviará los informes a su dirección de correo electrónico.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server"
Rkhunter – A Linux Rootkit Scanners
RKH (RootKit Hunter) es una herramienta gratuita, de código abierto, potente, sencilla de usar y muy conocida para escanear backdoors, rootkits y exploits locales en sistemas compatibles con POSIX como Linux. Como su nombre indica, es un cazador de rootkits, una herramienta de monitorización y análisis de seguridad que inspecciona a fondo un sistema para detectar agujeros de seguridad ocultos.
La herramienta rkhunter se puede instalar utilizando el siguiente comando en sistemas basados en Ubuntu y CentOS.
$ sudo apt install rkhunter# yum install epel-release# yum install rkhunter
Para comprobar su servidor con rkhunter ejecute el siguiente comando.
# rkhunter -c
Para hacer que rkhunter se ejecute automáticamente cada noche, añada la siguiente entrada cron, que se ejecutará a las 3 de la madrugada y enviará informes a su dirección de correo electrónico.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server"
ClamAV – Antivirus Software Toolkit
ClamAV es un motor antivirus de código abierto, versátil, popular y multiplataforma para detectar virus, malware, troyanos y otros programas maliciosos en un ordenador. Es uno de los mejores programas antivirus gratuitos para Linux y el estándar de código abierto para el software de escaneo de puertas de enlace de correo que soporta casi todos los formatos de archivos de correo.
Soporta actualizaciones de bases de datos de virus en todos los sistemas y escaneo en acceso sólo en Linux. Además, puede escanear dentro de archivos y ficheros comprimidos y soporta formatos como Zip, Tar, 7Zip, Rar entre otros y otras características más.
El ClamAV puede ser instalado usando el siguiente comando en sistemas basados en Debian.
$ sudo apt-get install clamav
El ClamAV puede ser instalado usando el siguiente comando en sistemas basados en CentOS.
# yum -y update# yum -y install clamav
Una vez instalado, puede actualizar las firmas y escanear un directorio con los siguientes comandos.
# freshclam# clamscan -r -i DIRECTORY
Donde DIRECTORIO es la ubicación a escanear. Las opciones -r, significa escanear recursivamente y la -i significa mostrar sólo los archivos infectados.
LMD – Linux Malware Detect
LMD (Linux Malware Detect) es un escáner de malware de código abierto, potente y con todas las funciones para Linux específicamente diseñado y orientado a entornos alojados compartidos, pero puede utilizarse para detectar amenazas en cualquier sistema Linux. Puede integrarse con el motor de escaneo de ClamAV para un mejor rendimiento.
Proporciona un completo sistema de informes para ver los resultados de los escaneos actuales y anteriores, admite la notificación de alertas por correo electrónico después de la ejecución de cada escaneo y muchas otras características útiles.
Para la instalación y el uso de LMD, lea nuestro artículo Cómo instalar y utilizar Linux Malware Detect (LMD) con ClamAV como motor antivirus.