11 herramientas para escanear el servidor Linux en busca de fallas de seguridad y malware

por

Aunque los sistemas basados ​​en Linux a menudo se consideran impenetrables, aún existen riesgos que deben tomarse en serio.

Los rootkits, virus, ransomware y muchos otros programas dañinos a menudo pueden atacar y causar problemas a los servidores Linux.

No importa el sistema operativo, tomar medidas de seguridad es imprescindible para los servidores. Las grandes marcas y organizaciones han tomado las medidas de seguridad en sus manos y han desarrollado herramientas que no solo detectan fallas y malware, sino que también las corrigen y toman acciones preventivas.

Afortunadamente, hay herramientas disponibles por un precio bajo o gratis que pueden ayudar con este proceso. Pueden detectar fallas en diferentes secciones de un servidor basado en Linux.

lynnis

lynnis es una herramienta de seguridad de renombre y una opción preferida por los expertos en Linux. También funciona en sistemas basados ​​en Unix y macOS. Es una aplicación de software de código abierto que se utiliza desde 2007 bajo una licencia GPL.

Lynis es capaz de detectar agujeros de seguridad y fallas de configuración. Pero va más allá: en lugar de solo exponer las vulnerabilidades, sugiere acciones correctivas. Por eso, para obtener informes de auditoría detallados, es necesario ejecutarlo en el sistema host.

La instalación no es necesaria para usar Lynis. Puede extraerlo de un paquete descargado o un tarball y ejecutarlo. También puede obtenerlo de un clon de Git para tener acceso a la documentación completa y al código fuente.

Lynis fue creada por el autor original de Rkhunter, Michael Boelen. Tiene dos tipos de servicios basados ​​en particulares y empresas. En cualquier caso, tiene un rendimiento sobresaliente.

Chkrootkit

Como ya habrás adivinado, el chkrootkit es una herramienta para comprobar la existencia de rootkits. Los rootkits son un tipo de software malicioso que puede dar acceso al servidor a un usuario no autorizado. Si está ejecutando un servidor basado en Linux, los rootkits pueden ser un problema.

chkrootkit es uno de los programas basados ​​en Unix más utilizados que pueden detectar rootkits. Utiliza ‘cadenas’ y ‘grep’ (comandos de herramientas de Linux) para detectar problemas.

Puede usarse desde un directorio alternativo o desde un disco de rescate, en caso de que desee verificar un sistema ya comprometido. Los diferentes componentes de Chkrootkit se encargan de buscar entradas eliminadas en los archivos “wtmp” y “lastlog”, encontrar registros de sniffer o archivos de configuración de rootkit y verificar entradas ocultas en “/proc” o llamadas al programa “readdir”.

Para usar chkrootkit, debe obtener la última versión de un servidor, extraer los archivos fuente, compilarlos y estará listo para comenzar.

  Cómo descargar e instalar fácilmente aplicaciones en Linux con AppImage Pool

rkhunter

El desarrollador Micheal Boelen fue la persona detrás de hacer rkhunter (Rootkit Hunter) en 2003. Es una herramienta adecuada para sistemas POSIX y puede ayudar con la detección de rootkits y otras vulnerabilidades. Rkhunter revisa minuciosamente los archivos (ocultos o visibles), los directorios predeterminados, los módulos del kernel y los permisos mal configurados.

Después de una revisión de rutina, los compara con los registros seguros y adecuados de las bases de datos y busca programas sospechosos. Dado que el programa está escrito en Bash, no solo puede ejecutarse en máquinas Linux, sino también en prácticamente cualquier versión de Unix.

AlmejaAV

Escrito en C++, AlmejaAV es un antivirus de código abierto que puede ayudar con la detección de virus, troyanos y muchos otros tipos de malware. Es una herramienta completamente gratuita, es por eso que muchas personas la usan para escanear su información personal, incluidos los correos electrónicos, en busca de cualquier tipo de archivo malicioso. También sirve significativamente como un escáner del lado del servidor.

La herramienta se desarrolló inicialmente, especialmente para Unix. Aún así, tiene versiones de terceros que se pueden usar en Linux, BSD, AIX, macOS, OSF, OpenVMS y Solaris. Clam AV realiza una actualización automática y periódica de su base de datos para poder detectar incluso las amenazas más recientes. Permite el escaneo de la línea de comandos y tiene un demonio escalable de subprocesos múltiples para mejorar su velocidad de escaneo.

Puede pasar por diferentes tipos de archivos para detectar vulnerabilidades. Admite todo tipo de archivos comprimidos, incluidos RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, formato SIS, BinHex y casi cualquier tipo de sistema de correo electrónico.

LMD

Detección de malware de Linux –o LMD, para abreviar– es otro reconocido antivirus para sistemas Linux, diseñado específicamente en torno a las amenazas que generalmente se encuentran en los entornos alojados. Al igual que muchas otras herramientas que pueden detectar malware y rootkits, LMD utiliza una base de datos de firmas para encontrar cualquier código malicioso en ejecución y eliminarlo rápidamente.

LMD no se limita a su propia base de datos de firmas. Puede aprovechar las bases de datos de ClamAV y Team Cymru para encontrar aún más virus. Para llenar su base de datos, LMD captura datos de amenazas de los sistemas de detección de intrusos en el borde de la red. Al hacer esto, es capaz de generar nuevas firmas para el malware que se usa activamente en los ataques.

LMD se puede utilizar a través de la línea de comando «maldet». La herramienta está especialmente diseñada para plataformas Linux y puede buscar fácilmente a través de servidores Linux.

Radare2

Radare2 (R2) es un marco para analizar binarios y realizar ingeniería inversa con excelentes capacidades de detección. Puede detectar binarios mal formados, brindando al usuario las herramientas para administrarlos, neutralizando amenazas potenciales. Utiliza sdb, que es una base de datos NoSQL. Los investigadores de seguridad de software y los desarrolladores de software prefieren esta herramienta por su excelente capacidad de presentación de datos.

  Cómo utilizar DNSCrypt para cifrar el tráfico DNS en Linux

Una de las características sobresalientes de Radare2 es que el usuario no está obligado a utilizar la línea de comandos para realizar tareas como análisis estático/dinámico y explotación de software. Se recomienda para cualquier tipo de investigación sobre datos binarios.

OpenVAS

Sistema abierto de evaluación de vulnerabilidades, o OpenVAS, es un sistema alojado para escanear vulnerabilidades y administrarlas. Está diseñado para empresas de todos los tamaños, ayudándolas a detectar problemas de seguridad ocultos dentro de sus infraestructuras. Inicialmente, el producto se conocía como GNessUs, hasta que su actual propietario, Greenbone Networks, cambió su nombre a OpenVAS.

Desde la versión 4.0, OpenVAS permite la actualización continua –normalmente en periodos inferiores a 24 horas– de su base Network Vulnerability Testing (NVT). A junio de 2016, tenía más de 47 000 NVT.

Los expertos en seguridad usan OpenVAS debido a su capacidad para escanear rápidamente. También cuenta con una excelente capacidad de configuración. Los programas OpenVAS se pueden usar desde una máquina virtual autónoma para realizar una investigación segura de malware. Su código fuente está disponible bajo una licencia GNU GPL. Muchas otras herramientas de detección de vulnerabilidades dependen de OpenVAS, por lo que se considera un programa esencial en las plataformas basadas en Linux.

REMnux

REMnux utiliza métodos de ingeniería inversa para analizar malware. Puede detectar muchos problemas basados ​​en el navegador, ocultos en fragmentos de código ofuscados de JavaScript y subprogramas Flash. También es capaz de escanear archivos PDF y realizar análisis forenses de memoria. La herramienta ayuda con la detección de programas maliciosos dentro de carpetas y archivos que no se pueden escanear fácilmente con otros programas de detección de virus.

Es efectivo debido a sus capacidades de decodificación e ingeniería inversa. Puede determinar las propiedades de los programas sospechosos y, por ser liviano, es prácticamente indetectable para los programas maliciosos inteligentes. Se puede usar tanto en Linux como en Windows, y su funcionalidad se puede mejorar con la ayuda de otras herramientas de escaneo.

Tigre

En 1992, la Universidad de Texas A&M comenzó a trabajar en Tigre para aumentar la seguridad de las computadoras de su campus. Ahora, es un programa popular para plataformas similares a Unix. Una característica única de la herramienta es que no solo es una herramienta de auditoría de seguridad, sino también un sistema de detección de intrusos.

  Cómo configurar un software RAID en Linux

La herramienta es de uso gratuito bajo una licencia GPL. Depende de las herramientas POSIX, y juntas pueden crear un marco perfecto que puede aumentar significativamente la seguridad de su servidor. Tiger está completamente escrito en lenguaje shell, esa es una de las razones de su eficacia. Es adecuado para verificar el estado y la configuración del sistema, y ​​su uso multipropósito lo hace muy popular entre las personas que usan herramientas POSIX.

maltrail

maltrail es un sistema de detección de tráfico capaz de mantener limpio el tráfico de su servidor y ayudarlo a evitar cualquier tipo de amenazas maliciosas. Realiza esa tarea comparando las fuentes de tráfico con los sitios en la lista negra publicados en línea.

Además de buscar sitios en la lista negra, también utiliza mecanismos heurísticos avanzados para detectar diferentes tipos de amenazas. Aunque es una función opcional, resulta útil cuando cree que su servidor ya ha sido atacado.

Tiene un sensor capaz de detectar el tráfico que recibe un servidor y enviar la información al servidor de Maltrail. El sistema de detección verifica si el tráfico es lo suficientemente bueno para intercambiar datos entre un servidor y la fuente.

YARA

Hecho para Linux, Windows y macOS, YARA (Yet Another Ridiculous Acronym) es una de las herramientas más esenciales utilizadas para la investigación y detección de programas maliciosos. Utiliza patrones textuales o binarios para simplificar y acelerar el proceso de detección, lo que resulta en una tarea rápida y sencilla.

YARA tiene algunas características adicionales, pero necesita la biblioteca OpenSSL para usarlas. Aunque si no tiene esa biblioteca, puede usar YARA para la investigación básica de malware a través de un motor basado en reglas. También se puede usar en Cuckoo Sandbox, un sandbox basado en Python ideal para realizar investigaciones seguras de software malicioso.

¿Cómo elegir la mejor herramienta?

Todas las herramientas que hemos mencionado anteriormente funcionan muy bien, y cuando una herramienta es popular en entornos Linux, puede estar bastante seguro de que miles de usuarios experimentados la están utilizando. Una cosa que los administradores de sistemas deben recordar es que cada aplicación generalmente depende de otros programas. Por ejemplo, ese es el caso de ClamAV y OpenVAS.

Debe comprender qué necesita su sistema y en qué áreas puede tener vulnerabilidades. En primer lugar, use una herramienta liviana para investigar qué sección necesita atención. A continuación, utilice la herramienta adecuada para resolver el problema.

Related posts:

  1. Cómo solucionar problemas de teclado y mouse Corsair en macOS y Linux
  2. Linux 5.0 «Shy Crocodile» llega con el cifrado Adiantum de Google
  3. Cómo realizar una tarea cuando se agrega un archivo nuevo a un directorio en Linux
  4. Cómo eliminar archivos y directorios en la terminal de Linux