Cómo detectar y limpiar malware de un servidor Linux con Maldet

Cómo detectar y limpiar malware de un servidor Linux con Maldet

El malware es un software malicioso cuyo objetivo es interrumpir el funcionamiento normal y sin problemas de un sistema informático o servidor, recopilar información privada o simplemente obtener acceso no autorizado al sistema/servidor. Se sabe que los sistemas Linux tienen menos software malicioso en comparación con Windows, pero eso no significa que los usuarios de Linux deban estar tranquilos.

La mayoría de los ataques a Linux tienen como objetivo explotar errores en servicios como contenedores Java y navegadores, y su objetivo principal es cambiar la forma en que funciona el servicio objetivo y, a veces, cerrarlo por completo.

Uno de los ataques más peligrosos en un sistema Linux es cuando un atacante intenta obtener las credenciales de inicio de sesión de un usuario. Cuando esto tiene éxito, el pirata informático puede ejecutar lo que quiera y tener acceso a datos confidenciales. También pueden atacar otras máquinas conectadas al servidor Linux. Para combatir esto, los usuarios pueden usar Maldet para detectar y limpiar el malware de Linux y mantener sus sistemas limpios.

Detección de malware de Linux

Maldet también se conoce como Linux Malware Detect (LMD). Es un escáner de malware de Linux que se desarrolló para manejar las amenazas que son comunes en los entornos alojados compartidos. Utiliza datos de amenazas de los sistemas de detección de intrusos en el borde de la red para extraer el malware que se usa activamente en los ataques y genera firmas para la detección. Si bien suena complicado, es fácil de usar.

Instalación de Maldet

Abra una terminal y ejecute el siguiente comando para descargar la aplicación:

wget https://www.rfxn.com/downloads/maldetect-current.tar.gz

descargar maldet

Descomprima el archivo comprimido descargado usando el siguiente comando:

tar -xvf maldetect-current.tar.gz

Cambie la carpeta activa a la carpeta que contiene el archivo maldetect extraído:

“xy” es el número de versión de la aplicación. En esta carpeta se encuentra el script “install.sh”. El siguiente paso es ejecutar el script usando el siguiente comando:

maldet-instalar

Si la instalación es exitosa, se le notificará. También se le informará dónde se instaló Maldet. En mi caso se instaló como “/usr/local/maldetect”.

Configuración

Después de instalar Maldet, se crea un archivo de configuración en el directorio de Maldet llamado «conf.maldet». Para editarlo, ábralo usando un editor de texto.

gksu gedit /usr/local/maldetect/conf.maldet

O puede usar «nano» o «vi» para editarlo en la terminal:

sudo nano /usr/local/maldetect/conf.maldet

A continuación se muestra un ejemplo de las opciones que se pueden establecer:

Notificación de correo electrónico

Reciba una notificación por correo electrónico cuando se detecte malware.

  • Establezca «email_alert» en 1.
  • Agregue su dirección de correo electrónico a la opción «email_addr».
  • Cambie «email_ignore_clean» a 1. Esto se usa para ignorar las alertas que se le envían cuando el malware se limpia automáticamente.

maldet-email-config

Opciones de cuarentena

Acciones a tomar cuando se detecta malware:

  • Establezca «quarantine_hits» en 1 para que los archivos afectados se pongan en cuarentena automáticamente.
  • Establezca «quarantine_clean» en 1 para limpiar automáticamente los archivos afectados. Establecer esto en 0 le permite inspeccionar primero los archivos antes de limpiarlos.
  • Establecer «quarantine_suspend_user» en 1 suspenderá a los usuarios cuyas cuentas se vean afectadas, mientras que «quarantine_suspend_user_minuid» establece la identificación de usuario mínima que se suspenderá. Está configurado en 500 de forma predeterminada, pero se puede cambiar.

maldet-cuarentena-opciones

Hay muchas otras opciones de configuración por las que puede pasar y realizar los cambios necesarios. Una vez que haya terminado con la configuración, guarde y cierre el archivo.

Escaneo de malware

Puede ejecutar un análisis básico de forma manual o automatizar un análisis para que se realice periódicamente.

Para ejecutar un análisis, ejecute el siguiente comando:

sudo maldet --scan-all /folders/to/scan

maldet-basicscan

Cuando se ejecuta este comando, se crea una lista de archivos a partir de los directorios en la ruta y comienza el escaneo de los archivos. Cambie la ruta del archivo «/carpetas/a/escanear» al directorio donde desea que Maldet escanee. Después de escanear, se genera un informe y luego puede ver qué archivos están afectados.

Cómo poner en cuarentena los archivos afectados

Maldet-archivos-afectados

Si establece «quarantine_hits» en 1, Maldet moverá automáticamente los archivos afectados a la cuarentena. Cuando se establece en 0, el informe generado le muestra la ubicación de los archivos afectados. Luego puede inspeccionar los archivos y decidir si limpiarlos o no.

Restaurar un archivo

A veces, es posible que tenga un falso positivo que haga que un archivo se ponga en cuarentena por el motivo equivocado. Para restaurar dicho archivo, ejecute el siguiente comando:

sudo maldet –restore FILENAME

Escaneo automático

Durante la instalación de Maldet, también se instala una función de cronjob en «/etc/cron.daily/maldet». Esto escaneará los directorios de inicio, así como los archivos/carpetas que se cambiaron recientemente a diario. Siempre le notificará de cualquier malware a través de la dirección de correo electrónico en el archivo de configuración.

Conclusión

Mucha gente dice que los sistemas Linux son inmunes al malware, pero eso no es cierto. Puede ser engañado para que instale software malicioso, o el malware puede incluso propagarse a través de correos electrónicos, y esto dañaría su sistema. También hay muchas otras vulnerabilidades en las que los piratas informáticos intentan obtener acceso no autorizado, lo que hace que el sistema sea inseguro. Para mantenerse seguro, puede usar Maldet para mantener limpio su sistema. Otras medidas que puede tomar incluyen la configuración de reglas de firewall y monitoreo de red, entre otras.

Experto Geek - Tu Guía en Tendencias Tecnológicas