Detecta software malicioso en Linux con LMD

GNU_linux-wallpaperAunque el termino “malware” en Linux es bastante inusual debido principalmente a que la mayoría de los programas provienen de repositorios oficiales y a su robusto sistema de permisos, nunca está de más contar con herramientas que refuercen la seguridad del sistema y ayuden a prevenir cualquier posible Apocalipsis en el mundo de los pingüinos.

Existe una herramienta como Linux Malware Detect (LMD), que te permite analizar patrones irregulares de comportamiento de amenazas en entornos diseñados para servidores web.

Entre las características de la tool, podemos mencionar:

  • Detección de archivos hash MD5, para la identificación de amenazas rápida.
  • Detección integrada de ClamAV, para utilizar como motor de escáner, ofreciendo un mejor rendimiento.
  • Exploración basada en un cron diario, de todos los cambios habidos en las últimas 24 horas de la /home de los usuarios.
  • Notificación de alertas, después de cada ejecución de escaneo, vía correo electrónico.

Una de las grandes virtudes de LMD, es el modo monitor que al determinar actividad sospechosa de malware, ejecuta la acción definida de nuestra parte en el archivo de configuración:

/usr/local/maldetect/conf.maldet

Acciones tales como envió de email, aseguramiento del archivo sospechoso en cuarentena y opciones adicionales de interés que podemos definir de nuestra parte.

El proceso de instalación es simple, inicialmente descargamos el paquete usando wget o cualquier otro gestor de descargas como este del que habló en su momento el compañero @tannhausser.

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Una vez descargado el paquete, en mi caso lo descargue en el directorio /tmp, lo extraemos:

tar -xzf maldetect-current.tar.gz

Luego nos paramos en el directorio de maldetec-*

LMD22Procedemos a instalarlo

sudo sh ./install.sh

LMD23Ahora queda solo la adaptación de la configuración del archivo a nuestras necesidades

LMD24Algo que podemos hacer editandolo con Vim:

vim  /usr/local/maldetect/conf.maldet

Como en este ejemplo:

# [ EMAIL ALERTS ]
##
# Activamos la funcion de envio de alertas, via correo electronico.
# [0 = disabled, 1 = enabled]
email_alert=0

# Asunto del Mensaje
email_subj=”Alerta de Linux Maldet $(hostname)”

# Se especifican las direcciones de correo que van a recibir notificaciones via correo electronico
# [ values are comma (,) spaced ]
email_addr=”Yo@dominio.com”

# [ QUARANTINE OPTIONS ]
##
# Especificamos, si deseamos enviar los archivos sospechosos a Quarentena.
# [0 = alert only, 1 = move to quarantine & alert]
quar_hits=0]

Entre las opciones a estudiar se encuentran variedad de comodines con los que podemos jugar. Pero si deseamos ver todas las opciones que se presentan mejor usar:

maldet --help

Para ejecutar un escaneo manual. Podríamos ejecutar lo siguiente:

maldet -b -r /home/anger 9

El parámetro -b envía el escaneo en background.

Mientras -r nos delimita el numero de días de antigüedad, en el ejemplo en este caso se definieron 9 dias.

LMD25Algunas opciones a considerar en el uso de Maldet:

-u, --update

Actualización de firmas de detección de malware

-d, --update-ver

Actualización de la versión instalada

-a, --scan-todo path

Analizar todos los archivos en la ruta (por defecto:/home, wildcard: ?)

Ejemplo:

maldet -a /home/?/public_html

-l, --log

Archivo de eventos de maldet

-p, --purge

Limpia colas de cuarentena, de sesión y datos temporales.

Wallpaper | Dablim (CC BY 3.0)

3 thoughts on “Detecta software malicioso en Linux con LMD”

  1. aldobelus says:

    Anger, buena labor de información pero una de las cosas que más me gusta de GNU es su seguridad. Gracias a ella no necesito dedicar tiempo a estas cosas. Creo que la paranoia sobre los ataques viene de lo imbricado que tenemos en el cerebro que un ordenador puede ser infectado, todo ello gracias al desastroso Windows. Cada vez que veo un capítulo de TV en el que interviene un virus como protagonista, en una instalación supersegura de una superagencia, me llevan los diablos…
    Yo no voy a alimentar más esa idea. GNU/Linux es seguro, no hay más…Pero gracias por el esfuerzo, te lo has currado…

    1. ianpocks says:

      No pondria la mano en el fuego la seguridad de gnu, desde que se usa android…..

      Por otro lado dar permisos de root a un programa externo que no viene de los repositorios oficiales yo a eso no lo haria, llamame paranoico pero no me gusta nada eso…

  2. carlosky77 says:

    A marcadores, buen tuto aunque últimamente estoy tratando de no instalar programas que no ésten en los repositorios oficiales para justamente evitar contaminarme con algún bicho raro “made in N.S.A.”. Creo que lo instalaré cuando esté disponibles en los repositorios oficiales.
    Saludos

Deja un comentario