Analizando ficheros
Vamos a configurar diferentes medidas de seguridad que nos permitan vigilar los ficheros del sistema para luchar contra el malware, rootkits y diferentes bichos.
CalmAV
ClamAV es un excelente antivirus gratis Open Source que luego nos servira para darle mas potencia a maldet
Instalamos los paquetes
Si queremos escanear por ejemplo el directorio actual lo podemos hacer de la siguiente manera
Vamos a configurar CalmAV para que cada vez que se acceda a un fichero se analice, el escaneo on-access se instalará en el núcleo de GNU/Linux, en el kernel.
Para configurar el demonio de clamav vamos a editar el fichero
Este demonio del sistema usa la librería del ClamAV para escanear ficheros. Es la mejor opción para realizar escaneos en paralelo, sin afectar demasiado al rendimiento del sistema. Este servicio es el que usará el clamonacc para engancharse a los accesos al sistema de ficheros que realiza el kernel de Linux.
Ya podemos lanzar el comando del sistema clamonacc, pero antes conviene configurarlo, para ello añadimos las siguientes lineas, OnAccessIncludePath podemos agregar tantas como sean necesarias.
Lo ejecutamos para probarlo si todo va bien lo vamos a demonizar.
y lo activamos
para probarlo podemos tirar vamos a usar eicar
Si todo va bien tendremos el fichero en la carpeta de cuarentena.
Maldet
Maldet es un antimalware que usamos desde la terminal de Linux y que utiliza un potente escáner y una serie de patrones o firmas para detectar malware en el sistema que puede utilizar el motor de clamav para ser mas rápido y potente.
Lo descargamos
Descomprimimos
Lo instalamos
Ahora vamos a configurarlo
email_alert: Nos permite poner un 0 o un 1, si ponemos 1 activaremos los avisos de Maldet mediante correo electrónico.
email_addr: Nos permite introducir una dirección de correo electrónico a donde se enviaran los avisos de detección.
email_ignore_clean: Nos permite que nos lleguen correos de limpieza de malware además de los correos de detección, permite poner 0 o 1, si ponemos 0 nos llegaran los correos.
scan_max_depth: Nos permite especificar la profundidad máxima al escanear, normalmente trae 15, pero lo hemos cambiado a 30.
scan_min_filesize: Nos permite especificar el tamaño mínimo de archivo a escanear, descartando en los análisis los archivos más pequeños de lo especificado en esta variable.
scan_max_filesize: Nos permite especificar el tamaño máximo del archivo a escanear, descartando en los análisis los archivos más grandes de lo especificado en esta variable, nosotros lo subimos a más de 300 MB, es decir, más de 300000k.
quarantine_hits: Por defecto solo alerta pero si lo ponemos a 1 lo movera a cuarentena y los eliminara.
quarantine_clean: Intentara limpiar el fichero de la infección tiene que tener activo quarantine_hits
default_monitor_mode: Configuramos la ruta que queremos monitorizar, por ejemplo /var/www/?/public_html
Anti-RootKits
Un rooktit es en esencia un programa o conjunto de programas que generalmente se utilizan para camuflar otros procesos maliciosos, archivos, puertas traseras o cambios de registro sospechosos en el sistema.
Chkrootkit
Instalamos el paquete
ahora solo tenemos que ejecutarlo
Rkhunter
Instalamos el paquete
Realizamos el escaneo
Cuando acabemos el escaneo hay que recordar que puede salir algun falso positivo, como por ejemplo PortSentry segun la configuración que tengamos realizada.
Última actualización