Tres herramientas para escanear un servidor Linux en busca de virus, malware y rootkits

Los servidores conectados a Internet están expuestos a un flujo constante de ataques y escaneos a lo largo del día. Si bien un firewall y actualizaciones regulares del sistema son una buena primera defensa para mantener el sistema seguro, también debes verificar regularmente que ningún atacante se haya infiltrado. Las herramientas descritas en este tutorial están hechas para estas pruebas, escaneando en busca de malware, virus y rootkits. Deben ejecutarse regularmente, por ejemplo, cada noche, y enviarte informes por correo electrónico. También puedes usar Chkrootkit, Rkhunter e ISPProtect para escanear un sistema cuando notes actividad sospechosa, como alta carga, procesos sospechosos o cuando el servidor comienza a enviar malware de repente.

Todos estos escáneres deben ejecutarse como usuarios root. Inicia sesión como root antes de ejecutarlos. En Ubuntu, usa:

sudo -s

para convertirte en el usuario root.

chkrootkit - Escáner de Rootkits para Linux

Chkrootkit es un escáner de rootkits clásico. Verifica tu servidor en busca de procesos de rootkit sospechosos y comprueba una lista de archivos de rootkit conocidos.

Puedes instalar el paquete que viene con tu distribución (en Debian y Ubuntu ejecutarías

apt-get install chkrootkit

), o descargar los fuentes desde www.chkrootkit.org e instalar manualmente:

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz  
tar xvfz chkrootkit.tar.gz  
cd chkrootkit-*/  
make sense

Después, puedes mover el directorio chkrootkit a otro lugar, por ejemplo, a /usr/local/chkrootkit:

cd ..  
mv chkrootkit-/ /usr/local/chkrootkit

y crear un enlace simbólico para un acceso fácil:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Para verificar tu servidor con chkrootkit, ejecuta el comando:

chkrootkit

Un informe de falso positivo común es:

Checking `bindshell'...                                     INFECTED (PORTS:  465)

No te preocupes cuando recibas este mensaje en un servidor de correo electrónico, este es el puerto SMTPS (SMTP Seguro) de tu sistema de correo y un falso positivo bien conocido.

Incluso puedes ejecutar chkrootkit mediante un trabajo cron y recibir los resultados por correo electrónico. Primero, averigua la ruta donde chkrootkit está instalado en tu servidor con:

which chkrootkit

Ejemplo:

root@server1:/tmp/chkrootkit-0.52# which chkrootkit  
/usr/sbin/chkrootkit

Chkrootkit está instalado en la ruta /usr/sbin/chkrootkit, necesitamos esta ruta en la línea cron a continuación:

Ejecuta:

crontab -e

Para crear un trabajo cron como este:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" [email protected])

Eso ejecutaría chkrootkit cada noche a las 3:00. Reemplaza la ruta a chkrootkit con la ruta que recibiste del comando anterior y cambia la dirección de correo electrónico por tu dirección real.

Lynis - Herramienta de Auditoría de Seguridad Universal y Escáner de Rootkits

Lynis (anteriormente rkhunter) es una herramienta de auditoría de seguridad para sistemas basados en Linux y BSD. Realiza auditorías detalladas de muchos aspectos de seguridad y configuraciones de tu sistema. Descarga las últimas fuentes de Lynis desde https://cisofy.com/downloads/lynis/:

cd /tmp  
wget https://downloads.cisofy.com/lynis/lynis-3.0.7.tar.gz  
tar xvfz lynis-3.0.7.tar.gz  
mv lynis /usr/local/  
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Esto instalará Lynis en el directorio /usr/local/lynis y creará un enlace simbólico para un acceso fácil. Ahora ejecuta

lynis update info

para verificar si estás usando la última versión.

Ahora puedes escanear tu sistema en busca de rootkits ejecutando:

lynis audit system

Lynis realizará algunas comprobaciones y luego se detendrá para darte tiempo para leer los resultados. Presiona [ENTER] para continuar con el escaneo.

Al final, te mostrará un resumen del escaneo.

Para ejecutar Lynis de manera no interactiva, inícialo con la opción –quick:

lynis --quick

Para ejecutar Lynis automáticamente por la noche, crea un trabajo cron como este:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" [email protected])

Esto ejecutará Lynis cada noche a las 3:00h. Reemplaza la dirección de correo electrónico con tu dirección real.

ISPProtect - Escáner de Malware para Sitios Web

ISPProtect es un escáner de malware para servidores web, escanea en busca de malware en archivos de sitios web y sistemas CMS como WordPress, Joomla, Drupal, etc. Si ejecutas un servidor de alojamiento web, entonces los sitios web alojados son la parte más atacada de tu servidor y se recomienda realizar verificaciones de cordura en ellos regularmente. ISPProtect contiene 5 motores de escaneo:

• Escáner de malware basado en firmas.
• Escáner de malware heurístico.
• Un escáner que muestra los directorios de instalación de sistemas CMS obsoletos.
• Un escáner que te muestra todos los plugins de WordPress obsoletos de todo el servidor.
• Un escáner de contenido de base de datos que verifica bases de datos MySQL en busca de contenido potencialmente malicioso.

ISPProtect no es software gratuito, pero hay una prueba gratuita que se puede usar sin registro para verificar tu servidor en busca de malware o limpiar un sistema infectado. La clave de licencia gratuita para usar la versión completa del software una vez en tu servidor es simplemente ‘ trial ‘.

ISPProtect requiere que PHP y ClamAV estén instalados en el servidor, esto debería ser el caso en la mayoría de los sistemas de alojamiento. ClamAV es utilizado por ISPProtect en el primer nivel de escaneo con el propio conjunto de firmas de malware de ISPProtect. En caso de que aún no tengas PHP en línea de comandos instalado, ejecuta:

sudo apt install php7.4-cli php7.4-curl clamav

en Debian 11 o Ubuntu 20.04 o

yum install PHP php-curl

en AlmaLinux, Fedora, CentOS o Rocky Linux.

Ejecuta los siguientes comandos para instalar ISPProtect.

mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Para iniciar ISPProtect, ejecuta:

ispp_scan

El escáner verifica automáticamente si hay actualizaciones, luego pide la clave (ingresa la palabra “trial” aquí) y luego pide la ruta de los sitios web, normalmente es /var/www.

Please enter scan key: <-- trial  
Please enter path to scan: <-- /var/www

El escáner ahora comenzará el escaneo. Se muestra el progreso del escaneo. Los nombres de los archivos infectados se muestran en la pantalla al final del escaneo y los resultados se almacenan en un archivo en el directorio de instalación de ISPProtect para su uso posterior:

Para actualizar ISPProtect, ejecuta el comando:

ispp_scan --update

Para ejecutar ISPProtect automáticamente como un trabajo cron nocturno, crea un archivo cron con nano:

nano /etc/cron.d/ispprotect

y inserta la siguiente línea:

0 3  * * *   root  /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

Reemplaza “root@localhost” con tu dirección de correo electrónico, el informe de escaneo se envía a esta dirección. Luego cambia “AAA-BBB-CCC-DDD” por tu clave de licencia. Puedes obtener una clave de licencia aquí.

Una lista completa de las opciones de línea de comandos del comando ispp_scan de ISPProtect se puede obtener con:

ispp_scan --help