Segurança de Servidor · 5 min read · Dec 09, 2025

Três Ferramentas para Escanear um Servidor Linux em Busca de Vírus, Malware e Rootkits

Servidores conectados à Internet estão expostos a um fluxo constante de ataques e varreduras ao longo do dia. Embora um firewall e atualizações regulares do sistema sejam uma boa primeira defesa para manter o sistema seguro, você também deve verificar regularmente se nenhum atacante infiltrou-se. As ferramentas descritas neste tutorial são feitas para esses testes, escaneando em busca de malware, vírus e rootkits. Elas devem ser executadas regularmente, por exemplo, todas as noites, e enviar relatórios por e-mail. Você também pode usar Chkrootkit, Rkhunter e ISPProtect para escanear um sistema quando notar atividade suspeita, como alta carga, processos suspeitos ou quando o servidor de repente começa a enviar malware.

Todas essas ferramentas de escaneamento devem ser executadas como usuários root. Faça login como root antes de executá-las. No Ubuntu, use:

sudo -s

para se tornar o usuário root.

chkrootkit - Scanner de Rootkit para Linux

Chkrootkit é um scanner clássico de rootkit. Ele verifica seu servidor em busca de processos de rootkit suspeitos e verifica uma lista de arquivos de rootkit conhecidos.

Ou instale o pacote que vem com sua distribuição (no Debian e Ubuntu você executaria

apt-get install chkrootkit

Instalação do CHKrootkit

), ou baixe os fontes de www.chkrootkit.org e instale manualmente:

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz  
tar xvfz chkrootkit.tar.gz  
cd chkrootkit-*/  
make sense

Compilar CHKRootkit a partir do código-fonte

Depois, você pode mover o diretório chkrootkit para outro lugar, por exemplo, para /usr/local/chkrootkit:

cd ..  
mv chkrootkit-/ /usr/local/chkrootkit

e criar um link simbólico para fácil acesso:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Para verificar seu servidor com chkrootkit, execute o comando:

chkrootkit

Um relatório comum de falso positivo é:

Checking `bindshell'...                                     INFECTADO (PORTAS:  465)

Não se preocupe quando você receber esta mensagem em um servidor de e-mail, esta é a porta SMTPS (SMTP Seguro) do seu sistema de e-mail e um falso positivo bem conhecido.

Você pode até executar chkrootkit por um trabalho cron e receber os resultados por e-mail. Primeiro, descubra o caminho onde o chkrootkit está instalado em seu servidor com:

which chkrootkit

Exemplo:

root@server1:/tmp/chkrootkit-0.52# which chkrootkit  
/usr/sbin/chkrootkit

Chkrootkit está instalado no caminho /usr/sbin/chkrootkit, precisamos desse caminho na linha cron abaixo:

Execute:

crontab -e

Para criar um trabalho cron como este:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" [email protected])

Isso executaria chkrootkit todas as noites às 3:00. Substitua o caminho para chkrootkit pelo caminho que você recebeu do comando acima e troque o endereço de e-mail pelo seu endereço real.

Lynis - Ferramenta de Auditoria de Segurança Universal e Scanner de Rootkit

Lynis (anteriormente rkhunter) é uma ferramenta de auditoria de segurança para sistemas Linux e baseados em BSD. Ele realiza auditorias detalhadas de muitos aspectos de segurança e configurações do seu sistema. Baixe os últimos fontes do Lynis em https://cisofy.com/downloads/lynis/:

cd /tmp  
wget https://downloads.cisofy.com/lynis/lynis-3.0.7.tar.gz  
tar xvfz lynis-3.0.7.tar.gz  
mv lynis /usr/local/  
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Instalar scanner de segurança Lynis

Isso instalará o Lynis no diretório /usr/local/lynis e criará um link simbólico para fácil acesso. Agora execute

lynis update info

para verificar se você está usando a versão mais recente.

Atualizando scanner de segurança Lynis

Agora você pode escanear seu sistema em busca de rootkits executando:

lynis audit system

Lynis realizará algumas verificações e então parará para lhe dar algum tempo para ler os resultados. Pressione [ENTER] para continuar com a varredura.

Auditoria de segurança do Linux

No final, ele mostrará um resumo da varredura.

Resultado da Auditoria de Segurança do Lynis

Para executar o Lynis de forma não interativa, inicie-o com a opção –quick:

lynis --quick

Para executar o Lynis automaticamente à noite, crie um trabalho cron como este:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" [email protected])

Isso executará o Lynis todas as noites às 3:00h. Substitua o endereço de e-mail pelo seu endereço real.

ISPProtect - Scanner de Malware para Websites

ISPProtect é um scanner de malware para servidores web, ele escaneia em busca de malware em arquivos de websites e sistemas CMS como WordPress, Joomla, Drupal etc. Se você executa um servidor de hospedagem web, então os websites hospedados são a parte mais atacada do seu servidor e é recomendado fazer verificações de sanidade neles regularmente. O ISPProtect contém 5 motores de escaneamento:

  • Scanner de malware baseado em assinatura.
  • Scanner de malware heurístico.
  • Um scanner para mostrar os diretórios de instalação de sistemas CMS desatualizados.
  • Um scanner que mostra todos os plugins desatualizados do WordPress de todo o servidor.
  • Um scanner de conteúdo de banco de dados que verifica bancos de dados MySQL em busca de conteúdo potencialmente malicioso.

O ISPProtect não é um software gratuito, mas há um teste gratuito que pode ser usado sem registro para verificar seu servidor em busca de malware ou limpar um sistema infectado. A chave de licença gratuita para usar a versão completa do software uma vez em seu servidor é simplesmente ‘ trial ‘.

O ISPProtect requer PHP e ClamAV instalados no servidor, isso deve ser o caso na maioria dos sistemas de hospedagem. O ClamAV é usado pelo ISPProtect no primeiro nível de escaneamento com o próprio conjunto de assinaturas de malware do ISPProtect. Caso você ainda não tenha o PHP da linha de comando instalado, execute:

sudo apt install php7.4-cli php7.4-curl clamav

no Debian 11 ou Ubuntu 20.04 ou

yum install PHP php-curl

no AlmaLinux, Fedora, CentOS ou Rocky Linux.

Execute os seguintes comandos para instalar o ISPProtect.

mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Para iniciar o ISPProtect, execute:

ispp_scan

O scanner verifica automaticamente se há atualizações, depois pede a chave (digite a palavra “trial” aqui) e então pede o caminho dos websites, normalmente é /var/www.

Escanear Linux em busca de malware com ISPProtect

Please enter scan key: <-- trial  
Please enter path to scan: <-- /var/www

O scanner agora começará a varredura. O progresso da varredura é mostrado. Os nomes dos arquivos infectados são mostrados na tela no final da varredura e os resultados são armazenados em um arquivo no diretório de instalação do ISPProtect para uso posterior:

Progresso da Varredura do ISPProtect

Para atualizar o ISPProtect, execute o comando:

ispp_scan --update

Para executar o ISPProtect automaticamente como um trabalho cron noturno, crie um arquivo cron com nano:

nano /etc/cron.d/ispprotect

e insira a seguinte linha:

0 3  * * *   root   /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

Substitua “root@localhost” pelo seu endereço de e-mail, o relatório de escaneamento é enviado para este endereço. Em seguida, troque “AAA-BBB-CCC-DDD” pela sua chave de licença. Você pode obter uma chave de licença aqui.

Uma lista completa de opções de linha de comando do comando ispp_scan do ISPProtect pode ser obtida com:

ispp_scan --help
Share: X/Twitter LinkedIn
#Segurança de Servidor

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.