Si pensáis que no hay virus, o malware en general para Linux estáis equivocados, extensible a MAC OS X que desciende de Linux BSD.
Sobre todo en servidores Web, Mail y otros servicios que están expuestos a continuos ataques, posiblemente de lamers utilizando Kali, pero basta con que encuentren un software desactualizado para el que haya exploit conocido, para que os revienten el servidor, la web o lo que sea. Pero también es MUY recomendable que instaléis y utilicéis anti-malwares en vuestros sistemas de escritorio Linux-Based
Yo utilizo como antivirus clamav, que en el caso de servidores instalo como demonio, que queda residente y programo vía cron tanto el update (freshclam) como el escaneo bajo demanda.
Para la parte de anti rootkits utilizo hace años rkhunter, pero si os lleváis algún susto instalar un segundo para que no sudéis en caso de un posible falso positivo, como pasa en el proceso init de algunas distros Linux como Mint, sobre todo si no os habéis preocupado primero de generar la base de datos para que el motor anti rootkits detecte los cambios en archivos (por ejemplo tras una actualización de wget o cualquier otro paquete).
Un ejemplo de salida, sobre todo en los correos, es el caso de Malware basado en Javascript que viene en muchos emails hoy día como adjuntos:
/ruta/a/mail/nutsanddelights.com/t/i/e/tienda-2014.08.26.21.58.41/Maildir/.Junk/cur/1463675530.M413824P26162.mail,S=9382,W=9536:2,RSa: Win.Malware.Locky-20318 FOUND
/ruta/a/mail/nutsanddelights.com/t/i/e/tienda-2014.08.26.21.58.41/Maildir/.Junk/cur/1464204747.M500275P32241.mail,S=86215,W=87424:2,Sa: Doc.Dropper.Agent-1422729 FOUND
/ruta/a/mail/nutsanddelights.com/t/i/e/tienda-2014.08.26.21.58.41/Maildir/.Junk/cur/1459277416.M483874P30874.mail,S=6104,W=6210:2,Sa: Js.Trojan.Nemucod-2 FOUND
Al final produce una salida resumen, que no está mal en el caso del escaneo programado por cron, que os enviéis por email:
———– SCAN SUMMARY ———–
Known viruses: 4539267
Engine version: 0.99
Scanned directories: 35647
Scanned files: 96923
Infected files: 17
Data scanned: 13017.19 MB
Data read: 35591.53 MB (ratio 0.37:1)
Time: 1041.575 sec (17 m 21 s)
También es posible que encontréis en particiones NTFS virus tanto para Windows como para el propio Linux, troyanos, backdoors, son muy frecuentes en software de dudosa procedencia, o herramientas de seguridad:
/media/scripting-linux/iptables/Linux_Firewalls.pdf: Html.Phishing.Bank-184 FOUND
/media/estimasol/estimasol.exe: Win.Adware.Rootkit-11686 FOUND
/home/jose/Debian7x/Trabajo/moodledata/1/backupdata/copia_de_seguridad-ciclos-17102013-1136.zip: Win.Trojan.Kazy-6092 FOUND
/home/jose/Debian7x/Trabajo/moodledata/1/Software/unlocker1.8.6.exe: Win.Trojan.Agent-36206 FOUND
/home/jose/Debian7x/Trabajo/moodledata/1/Software/EliPen.exe: Win.Trojan.Kazy-6092 FOUND
/home/jose/Escritorio/mover/SoftonicDownloader_para_gimp.exe: Win.Trojan.Softonicdownloader-1 FOUND
/home/jose/Escritorio/mover/virusmails: Legacy.Trojan.Agent-1388588 FOUND
/usr/local/share/multisystem/EFI/BOOT/BOOTx64.EFI: Win.Trojan.Agent-1428496 FOUND
/usr/lib/linuxmint/mintWifi/drivers/i386/Dell_bcmwl5/bcmwl5.sys: Win.Trojan.Agent-1427312 FOUND
Rootkit checks…
Rootkits checked : 303
Possible rootkits: 0
Applications checks…
All checks skipped
The system checks took: 37 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Como bien dice ahí, en caso de algún hallazgo, sobre todo si lo ejecutáis en modo silencioso, hay que mirar el log.
Instalación del antivirus clamav
Para instalar la herramienta clamav, en sistemas Debian based basta con primero actualizar los repositorios, y aconsejable el sistema, para ello siempre tengo a mano un script como este:
cat actu.sh
aptitude update
aptitude upgrade
A continuación instalamos clamav:
aptitude install clamav
Y como siempre tengo un script:
cat scripts/scanear.sh
if [ $# -eq 1 ];then freshclam
fi
clamscan -r –infected –log=/root/clamscan-`date +%d-%m-%y.log` –exclude-dir=^/sys\|^/proc\|^/dev /
El condicional lo utilizo simplemente como un flag para actualizar o no las bases de firmas.
Instalar y utilizar rkhunter
Rkhunter (Rootkit Hunter) es una herramienta que detecta rootkits, backdoors y exploits locales mediante la comparación de los hashes de ficheros importantes con su firma correcta en una base de datos en línea, buscando en directorios conocidos: permisos incorrectos, archivos ocultos, cadenas sospechosas en módulos del kernel, etc.
La instalación es sencilla, lo mismo que antes, primero conviene actualizar el sistema o al menos los repos.
aptitude install rkhunter
Tras la instalación tal y como dice la web oficial deberíamos crear una base de datos del sistema de archivos, para que en las próximas comprobaciones de rootkits no salten alarmas sin necesidad con la opción propupd:
rkhunter –update
rkhunter —propupd
Y como siempre para las cosas que uso frecuentemente tengo un script, las opciones son variadas, pero personalmente utilizo estas:
Por último, suelo subir los ficheros a virustotal, genial herramienta de un malagueño que tristemente, o a lo mejor no para el equipo anterior, Google ha comprado.
Espero que os sirva, y sobre todo “no os asustéis” hay malware en Linux!
No disponible por mantenimiento programado. Vuelve a comprobar el sitio en unos minutos.
En ocasiones ocurre que al aplicar ciertas actualizaciones en WordPress, nos aparece el mensaje anterior. Sospecho, cuando lo tenga claro os lo comentaré, que es un tema de permisos, ya que el sitio donde me acaba de ocurrir lo estoy montando a ratos, con el poco tiempo que me queda libre. La solución es tan sencilla como localizar el archivo oculto .maintenance y borrarlo, en el video podéis observar cómo he conectado vía SSH, he suplantado al usuario Linux donde delego el sitio web, he usado el comando find para localizar dicho archivo y lo he eliminado. Después basta con actualizar el navegador y volvemos a tener nuestro sitio operativo.
Post-Data, en el video se ven datos sensibles, así que podéis intentar “reventarlo” y hasta aquí puedo leer. Espero que os sirva!