Detecta software malicioso en Linux con LMD

Aunque el termino «malware» en Linux es bastante inusual debido principalmente a que la mayoría de los programas provienen de repositorios oficiales y a su robusto sistema de permisos, nunca está de más contar con herramientas que refuercen la seguridad del sistema y ayuden a prevenir cualquier posible Apocalipsis en el mundo de los pingüinos.

Existe una herramienta como Linux Malware Detect (LMD), que te permite analizar patrones irregulares de comportamiento de amenazas en entornos diseñados para servidores web.

Entre las características de la tool, podemos mencionar:

• Detección de archivos hash MD5, para la identificación de amenazas rápida.
• Detección integrada de ClamAV, para utilizar como motor de escáner, ofreciendo un mejor rendimiento.
• Exploración basada en un cron diario, de todos los cambios habidos en las últimas 24 horas de la /home de los usuarios.
• Notificación de alertas, después de cada ejecución de escaneo, vía correo electrónico.

Una de las grandes virtudes de LMD, es el modo monitor que al determinar actividad sospechosa de malware, ejecuta la acción definida de nuestra parte en el archivo de configuración:

/usr/local/maldetect/conf.maldet

Acciones tales como envió de email, aseguramiento del archivo sospechoso en cuarentena y opciones adicionales de interés que podemos definir de nuestra parte.

El proceso de instalación es simple, inicialmente descargamos el paquete usando wget o cualquier otro gestor de descargas como este del que habló en su momento el compañero @tannhausser.

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Una vez descargado el paquete, en mi caso lo descargue en el directorio /tmp, lo extraemos:

tar -xzf maldetect-current.tar.gz

Luego nos paramos en el directorio de maldetec-*

Procedemos a instalarlo

sudo sh ./install.sh

Ahora queda solo la adaptación de la configuración del archivo a nuestras necesidades

Algo que podemos hacer editandolo con Vim:

vim  /usr/local/maldetect/conf.maldet

Como en este ejemplo:

# [ EMAIL ALERTS ]
##
# Activamos la funcion de envio de alertas, via correo electronico.
# [0 = disabled, 1 = enabled]
email_alert=0

# Asunto del Mensaje
email_subj=»Alerta de Linux Maldet $(hostname)»

# Se especifican las direcciones de correo que van a recibir notificaciones via correo electronico
# [ values are comma (,) spaced ]
email_addr=»Yo@dominio.com»

# [ QUARANTINE OPTIONS ]
##
# Especificamos, si deseamos enviar los archivos sospechosos a Quarentena.
# [0 = alert only, 1 = move to quarantine & alert]
quar_hits=0]

Entre las opciones a estudiar se encuentran variedad de comodines con los que podemos jugar. Pero si deseamos ver todas las opciones que se presentan mejor usar:

maldet --help

Para ejecutar un escaneo manual. Podríamos ejecutar lo siguiente:

maldet -b -r /home/anger 9

El parámetro -b envía el escaneo en background.

Mientras -r nos delimita el numero de días de antigüedad, en el ejemplo en este caso se definieron 9 dias.

Algunas opciones a considerar en el uso de Maldet:

-u, --update

Actualización de firmas de detección de malware

-d, --update-ver

Actualización de la versión instalada

-a, --scan-todo path

Analizar todos los archivos en la ruta (por defecto:/home, wildcard: ?)

Ejemplo:

maldet -a /home/?/public_html

-l, --log

Archivo de eventos de maldet

-p, --purge

Limpia colas de cuarentena, de sesión y datos temporales.

Wallpaper | Dablim (CC BY 3.0)