Cómo detectar y limpiar malware de un servidor Linux con Maldet
El malware es un software malicioso cuyo objetivo es interrumpir el funcionamiento normal y fluido de un sistema informático o servidor, recopilar información privada o simplemente obtener acceso no autorizado al sistema/servidor. Se sabe que los sistemas Linux tienen poco software malicioso en comparación con Windows, pero eso no significa que los usuarios de Linux deban estar tranquilos.
La mayoría de los ataques a Linux tienen como objetivo explotar errores en servicios como contenedores y navegadores Java, y su objetivo principal es cambiar el funcionamiento del servicio objetivo y, en ocasiones, cerrarlo por completo.
Uno de los ataques más peligrosos a un sistema Linux es cuando un atacante intenta obtener las credenciales de inicio de sesión de un usuario. Cuando esto tiene éxito, el pirata informático puede ejecutar lo que quiera y tener acceso a datos confidenciales. También pueden atacar otras máquinas conectadas al servidor Linux. Para combatir esto, los usuarios pueden usar Maldet para detectar y limpiar malware de Linux y mantener limpios sus sistemas.
Detección de malware en Linux
Maldet también se conoce como Linux Malware Detect (LMD). Es un escáner de malware de Linux que fue desarrollado para manejar amenazas comunes en entornos alojados compartidos. Utiliza datos de amenazas de los sistemas de detección de intrusiones en el borde de la red para extraer malware que se utiliza activamente en ataques y genera firmas para la detección. Aunque parezca complicado, es fácil de usar.
Instalación de Maldet
Abra una terminal y ejecute el siguiente comando para descargar la aplicación:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Desempaquete el archivo descargado usando el siguiente comando:
tar -xvf maldetect-current.tar.gz
Cambie la carpeta activa a la carpeta que contiene el archivo de detección incorrecta extraído:
cd maldetect-x.y
"x.y" es el número de versión de la aplicación. En esta carpeta se encuentra el script "install.sh". El siguiente paso es ejecutar el script usando el siguiente comando:
sudo ./install.sh
Si la instalación es exitosa, se le notificará. También se le indicará dónde se instaló Maldet. En mi caso se instaló como "/usr/local/maldetect".
Configuración
Después de instalar Maldet, se crea un archivo de configuración en el directorio de Maldet llamado "conf.maldet". Para editarlo, ábrelo usando un editor de texto.
gksu gedit /usr/local/maldetect/conf.maldet
O puedes usar "nano" o "vi" para editarlo en la terminal:
sudo nano /usr/local/maldetect/conf.maldet
A continuación se muestra un ejemplo de opciones que se pueden configurar:
Notificación de correo electrónico
Reciba una notificación por correo electrónico cuando se detecte malware.
- Establezca "email_alert" en 1.
- Agregue su dirección de correo electrónico a la opción "email_addr".
- Cambie "email_ignore_clean" a 1. Esto se utiliza para ignorar las alertas que se le envían cuando el malware se limpia automáticamente.
Opciones de cuarentena
Acciones a tomar cuando se detecta malware:
- Establezca "quarantine_hits" en 1 para que los archivos afectados se pongan en cuarentena automáticamente.
- Establezca "quarantine_clean" en 1 para limpiar automáticamente los archivos afectados. Establecer esto en 0 le permite inspeccionar primero los archivos antes de limpiarlos.
- Establecer "quarantine_suspend_user" en 1 suspenderá a los usuarios cuyas cuentas se vean afectadas, mientras que "quarantine_suspend_user_minuid" establece la identificación mínima de usuario que se suspenderá. Está configurado en 500 de forma predeterminada, pero se puede cambiar.
Hay muchas otras opciones de configuración que puede revisar y realizar los cambios necesarios. Una vez que haya terminado con la configuración, guarde y cierre el archivo.
Escaneo de malware
Puede ejecutar un análisis básico manualmente o automatizar un análisis para que se realice periódicamente.
Para ejecutar un análisis, ejecute el siguiente comando:
sudo maldet --scan-all /folders/to/scan
Cuando se ejecuta este comando, se crea una lista de archivos a partir de los directorios en la ruta y se inicia el escaneo de los archivos. Cambie la ruta del archivo "/folders/to/scan" al directorio donde desea que Maldet escanee. Después del escaneo, se genera un informe y luego puede ver qué archivos están afectados.
Cómo poner en cuarentena los archivos afectados
Si configura "quarantine_hits" en 1, Maldet moverá automáticamente los archivos afectados a cuarentena. Cuando se establece en 0, el informe generado le muestra la ubicación de los archivos afectados. Luego podrás inspeccionar los archivos y decidir si limpiarlos o no.
Restaurar un archivo
A veces, es posible que tenga un falso positivo que lleve a que un archivo se ponga en cuarentena por el motivo equivocado. Para restaurar dicho archivo, ejecute el siguiente comando:
sudo maldet -restore FILENAME
Escaneo automático
Durante la instalación de Maldet, también se instala una función cronjob en "/etc/cron.daily/maldet". Esto escaneará diariamente los directorios de inicio, así como cualquier archivo/carpeta que se haya modificado recientemente. Siempre le notificará sobre cualquier malware a través de la dirección de correo electrónico en el archivo de configuración.
Conclusión
Mucha gente dice que los sistemas Linux son inmunes al malware, pero eso no es cierto. Es posible que lo engañen para que instale software malicioso, o incluso que el malware se propague a través de correos electrónicos, lo que causaría daños a su sistema. También existen muchas otras vulnerabilidades en las que los piratas informáticos intentan obtener acceso no autorizado, lo que hace que el sistema sea inseguro. Para mantenerse seguro, puede utilizar Maldet para mantener limpio su sistema. Otras medidas que puede tomar incluyen la configuración de monitoreo de red y reglas de firewall, entre otras.