Cómo detectar y limpiar malware desde un servidor GNU/Linux con Maldet

El malware es un software malicioso cuyo objetivo es interrumpir el funcionamiento normal y sin problemas de un sistema o servidor informático, recopilar información privada o simplemente obtener acceso no autorizado al sistema/servidor. Se sabe que los sistemas Linux tienen pocos programas maliciosos en comparación con Windows, pero eso no significa que los usuarios de Linux deberían estar tan seguros.

La mayoría de los ataques a Linux están destinados a explotar errores en servicios como contenedores y navegadores Java, y su objetivo principal es cambiar la forma en que funciona el servicio específico y, a veces, cerrarlo por completo.

Uno de los ataques más peligrosos en un sistema Linux es cuando un atacante intenta obtener las credenciales de inicio de sesión de un usuario. Cuando esto tiene éxito, el pirata informático puede ejecutar todo lo que quiera y tener acceso a datos confidenciales. También pueden atacar a otras máquinas conectadas al servidor Linux. Para combatir esto, los usuarios pueden usar Maldet para detectar y limpiar el malware de Linux y mantener sus sistemas limpios.

Maldet también se conoce como Linux Malware Detect (LMD). Es un escáner de malware Linux que fue desarrollado para manejar amenazas que son comunes con los entornos alojados compartidos. Utiliza los datos de amenaza de los sistemas de detección de intrusos de la red para extraer el malware que se usa activamente en los ataques y genera firmas para la detección. Si bien suena complicado, es fácil de usar.


Instalando Maldet

Abre una terminal y ejecuta el siguiente comando para descargar la aplicación:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Desempaqueta el archivo descargado usando el siguiente comando:

Cambia la carpeta activa a la carpeta que contiene el archivo maldetect extraído:

“x.y” es el número de versión de la aplicación. En esta carpeta está el script “install.sh”. El siguiente paso es ejecutar el script usando el siguiente comando:

 

Si la instalación es exitosa, se te notificará. También se te informará dónde se instaló Maldet. En mi caso, se instaló como “/usr/local/maldetect”.

Configuración

Después de instalar Maldet, se crea un archivo de configuración en el directorio de Maldet llamado “conf.maldet”. Para editarlo, ábralo usando un editor de texto.

O puedes usar “nano” o “vi” para editarlo en la terminal:

A continuación se muestra un ejemplo de opciones que se pueden establecer:

Notificación de correo electrónico

Recibe una notificación por correo electrónico cuando se detecte malware.

-Establece “email_alert” en 1.
Agrega tu dirección de correo electrónico a la opción “email_addr”.
Cambia  “email_ignore_clean” a 1. Esto se usa para ignorar las alertas que se le envían cuando el malware se limpia automáticamente.

 

Opciones de cuarentena

Acciones a tomar cuando se detecta malware:

-Establece “quarantine_hits” en 1 para que los archivos afectados se pongan en cuarentena automáticamente.
-Establece “quarantine_clean” en 1 para limpiar automáticamente los archivos afectados. Establecer esto en 0 te permite primero inspeccionar los archivos antes de limpiarlos.
Si se establece “quarantine_suspend_user” en 1, se suspenderán los usuarios cuyas cuentas se vean afectadas, mientras que “quarantine_suspend_user_minuid” establece el ID de usuario mínimo que se suspenderá.Esto se establece en 500 por defecto, pero se puede cambiar.

 

Hay muchas otras opciones de configuración que puedes repasar y hacer los cambios necesarios. Una vez que hayas terminado con la configuración, guarda y cierra el archivo.

Escaneo de Malware

Puedes ejecutar un escaneo básico manualmente o automatizar un escaneo periódicamente.

Para ejecutar un escaneo, ejecuta el siguiente comando:

 

maldet-affected-files

Si estableces “quarantine_hits” en 1, Maldet moverá automáticamente los archivos afectados a la cuarentena. Cuando se establece en 0, el informe generado muestra la ubicación de los archivos afectados. Luego puedes inspeccionar los archivos y decidir si limpiarlos o no.

Restaurando un archivo

En ocasiones, es posible que tengas un falso positivo que conduzca a que un archivo se ponga en cuarentena por el motivo equivocado. Para restaurar dicho archivo, ejecuta el siguiente comando:



sudo maldet -restore nombre de archivo

 

Escaneo automático

Durante la instalación de Maldet, también se instala una función cronjob en “/etc/cron.daily/maldet”. Esto escaneará los directorios de inicio, así como también los archivos/carpetas que se cambiaron recientemente a diario. Siempre te notificará de cualquier malware a través de la dirección de correo electrónico en el archivo de configuración.

Mucha gente dice que los sistemas Linux son inmunes al malware, pero eso no es cierto. Pueden engañarse para que instales software malicioso, o el malware incluso se puede propagar a través de correos electrónicos, y esto podría dañar tu sistema. También hay muchas otras vulnerabilidades donde los piratas informáticos intentan obtener acceso no autorizado, lo que hace que el sistema no sea seguro. Para mantenerse seguro, puedes usar Maldet para mantener tu sistema limpio. Otras medidas que puedes tomar incluyen la configuración de monitoreo de red y reglas de firewall entre otras.

Comentarios de Facebook
Un comentario Añade el tuyo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *