El malware es un software malicioso cuyo objetivo es interrumpir el funcionamiento normal y sin problemas de un sistema informático o servidor, recopilar información privada o simplemente obtener acceso no autorizado al sistema/servidor. Se sabe que los sistemas Linux tienen poco software malicioso en comparación con Windows, pero eso no significa que los usuarios de Linux deban estar tranquilos.
La mayoría de los ataques a Linux están dirigidos a explotar bugs en servicios como contenedores java y navegadores, y su objetivo principal es cambiar el funcionamiento del servicio objetivo y, en ocasiones, cerrarlo por completo.
Uno de los ataques más peligrosos en un sistema Linux es cuando un atacante intenta obtener las credenciales de inicio de sesión de un usuario. Cuando esto tiene éxito, el hacker puede ejecutar cualquier cosa que desee y tener acceso a datos confidenciales. También pueden atacar otras máquinas conectadas al servidor Linux. Para combatir esto, los usuarios pueden usar Maldet para detectar y limpiar malware de Linux y mantener sus sistemas limpios.
Detección de malware en Linux
Maldet también se conoce como Linux Malware Detect (LMD). Se trata de un escáner de malware de Linux que fue desarrollado para manejar las amenazas que son comunes en los entornos alojados compartidos. Utiliza los datos de amenazas de los sistemas de detección de intrusos en los bordes de la red para extraer el malware que se está utilizando activamente en los ataques y genera firmas para la detección. Aunque suene complicado, es fácil de usar.
Instalación de Maldet
Abra un terminal y ejecute el siguiente comando para descargar la aplicación:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Descomprima el archivo descargado usando el comando de abajo:
tar -xvf maldetectar-corriente.tar.gz
Cambie la carpeta activa a la carpeta que contiene el archivo maldecido extraído:
cd maldetect-x.y
«x.y» es el número de versión de la aplicación. En esta carpeta se encuentra el script «install.sh». El siguiente paso es ejecutar el script usando el siguiente comando:
sudo./install.sh
Si la instalación se realiza correctamente, se le notificará. También se le dirá dónde se instaló Maldet. En mi caso se instaló como «/usr/local/maldetect.»
Configuración
Después de instalar Maldet, se crea un archivo de configuración en el directorio de Maldet llamado «conf.maldet». Para editarlo, ábrelo usando un editor de texto.
gksu gedit /usr/local/maldetect/conf.maldet
O puedes usar «nano» o «vi» para editarlo en el terminal:
sudo nano /usr/local/maldetect/conf.maldet
A continuación se muestra un ejemplo de las opciones que se pueden establecer:
Notificación por correo electrónico
Reciba una notificación por correo electrónico cuando se detecte malware.
- Poner «email_alert» a 1.
- Añada su dirección de correo electrónico a la opción «email_addr».
- Cambie «email_ignore_clean» a 1. Esto se utiliza para ignorar las alertas que se le envían cuando el malware se limpia automáticamente.
Opciones de cuarentena
Medidas a tomar cuando se detecta malware:
- Establezca el valor «quarantine_hits» en 1 para que los archivos afectados se pongan en cuarentena automáticamente.
- Ponga «quarantine_clean» en 1 para limpiar automáticamente los archivos afectados. Si lo ajusta a 0, podrá inspeccionar primero los archivos antes de limpiarlos.
- Configurar «quarantine_suspend_user» en 1 suspenderá a los usuarios cuyas cuentas se vean afectadas, mientras que «quarantine_suspend_user_minuid» establece el identificador de usuario mínimo a suspender. Está configurado en 500 por defecto, pero se puede cambiar.
Hay muchas otras opciones de configuración por las que puede pasar y hacer los cambios necesarios. Una vez que haya terminado con la configuración, guarde y cierre el archivo.
Escaneo de malware
Puede ejecutar un análisis básico manualmente o automatizar un análisis para que se realice periódicamente.
Para ejecutar un análisis, ejecute el siguiente comando:
sudo maldet –escanear todas las carpetas /a/escanear
Cuando se ejecuta este comando, se crea una lista de archivos a partir de los directorios de la ruta y se inicia el análisis de los archivos. Cambie la ruta del archivo «/folders/to/scan» al directorio donde desea que Maldet escanee. Después del escaneo, se genera un informe y puede ver qué archivos están afectados.
Cómo poner en cuarentena los archivos afectados
Si ajusta «quarantine_hits» a 1, Maldet moverá automáticamente los archivos afectados a la cuarentena. Cuando se establece en 0, el informe generado muestra la ubicación de los archivos afectados. A continuación, puede inspeccionar los archivos y decidir si desea limpiarlos o no.
Restauración de un archivo
A veces usted puede tener un falso positivo que lleve a que un archivo sea puesto en cuarentena por una razón equivocada. Para restaurar dicho archivo, ejecute el siguiente comando:
sudo maldet -restore FILENAME
Escaneo automático
Durante la instalación de Maldet, también se instala una función cronjob en «/etc/cron.daily/maldet». Esto escaneará los directorios de inicio, así como cualquier archivo/carpeta que se haya cambiado recientemente a diario. Siempre le notificará de cualquier malware a través de la dirección de correo electrónico que aparece en el archivo de configuración.
Conclusión
Mucha gente dice que los sistemas Linux son inmunes al malware, pero eso no es cierto. Se le puede engañar para que instale software malicioso, o incluso se puede propagar malware a través de correos electrónicos, y esto causaría daños a su sistema. También hay muchas otras vulnerabilidades en las que los hackers intentan obtener acceso no autorizado, lo que hace que el sistema sea inseguro. Para mantenerse seguro, puede utilizar Maldet para mantener su sistema limpio. Otras medidas que puede tomar incluyen establecer monitoreo de red y reglas de firewall entre otras.
