11 herramientas para escanear el servidor Linux en busca de fallas de seguridad y malware

Aunque los sistemas basados ‚Äč‚Äčen Linux a menudo se consideran impenetrables, a√ļn existen riesgos que deben tomarse en serio.

Los rootkits, virus, ransomware y muchos otros programas da√Īinos a menudo pueden atacar y causar problemas a los servidores Linux.

No importa el sistema operativo, tomar medidas de seguridad es imprescindible para los servidores. Las grandes marcas y organizaciones han tomado las medidas de seguridad en sus manos y han desarrollado herramientas que no solo detectan fallas y malware, sino que también las corrigen y toman acciones preventivas.

Afortunadamente, hay herramientas disponibles por un precio bajo o gratis que pueden ayudar con este proceso. Pueden detectar fallas en diferentes secciones de un servidor basado en Linux.

lynnis

Lynis es una herramienta de seguridad de renombre y una opci√≥n preferida por los expertos en Linux. Tambi√©n funciona en sistemas basados ‚Äč‚Äčen Unix y macOS. Es una aplicaci√≥n de software de c√≥digo abierto que se utiliza desde 2007 bajo una licencia GPL.

Lynis es capaz de detectar agujeros de seguridad y fallas de configuración. Pero va más allá: en lugar de solo exponer las vulnerabilidades, sugiere acciones correctivas. Por eso, para obtener informes de auditoría detallados, es necesario ejecutarlo en el sistema host.

La instalación no es necesaria para usar Lynis. Puede extraerlo de un paquete descargado o un tarball y ejecutarlo. También puede obtenerlo de un clon de Git para tener acceso a la documentación completa y al código fuente.

Lynis fue creada por el autor original de Rkhunter, Michael Boelen. Tiene dos tipos de servicios basados ‚Äč‚Äčen particulares y empresas. En cualquier caso, tiene un rendimiento sobresaliente.

Chkrootkit

Como ya habr√°s adivinado, el chkrootkit es una herramienta para comprobar la existencia de rootkits. Los rootkits son un tipo de software malicioso que puede dar acceso al servidor a un usuario no autorizado. Si est√° ejecutando un servidor basado en Linux, los rootkits pueden ser un problema.

chkrootkit es uno de los programas basados ‚Äč‚Äčen Unix m√°s utilizados que pueden detectar rootkits. Utiliza ‘cadenas’ y ‘grep’ (comandos de herramientas de Linux) para detectar problemas.

Puede usarse desde un directorio alternativo o desde un disco de rescate, en caso de que desee verificar un sistema ya comprometido. Los diferentes componentes de Chkrootkit se encargan de buscar entradas eliminadas en los archivos ‚Äúwtmp‚ÄĚ y ‚Äúlastlog‚ÄĚ, encontrar registros de sniffer o archivos de configuraci√≥n de rootkit y verificar entradas ocultas en ‚Äú/proc‚ÄĚ o llamadas al programa ‚Äúreaddir‚ÄĚ.

Para usar chkrootkit, debe obtener la √ļltima versi√≥n de un servidor, extraer los archivos fuente, compilarlos y estar√° listo para comenzar.

rkhunter

El desarrollador Micheal Boelen fue la persona detrás de la creación de Rkhunter (Rootkit Hunter) en 2003. Es una herramienta adecuada para los sistemas POSIX y puede ayudar con la detección de rootkits y otras vulnerabilidades. Rkhunter revisa minuciosamente los archivos (ocultos o visibles), los directorios predeterminados, los módulos del kernel y los permisos mal configurados.

Después de una revisión de rutina, los compara con los registros seguros y adecuados de las bases de datos y busca programas sospechosos. Dado que el programa está escrito en Bash, no solo puede ejecutarse en máquinas Linux, sino también en prácticamente cualquier versión de Unix.

AlmejaAV

Escrito en C++, ClamAV es un antivirus de código abierto que puede ayudar con la detección de virus, troyanos y muchos otros tipos de malware. Es una herramienta completamente gratuita, es por eso que muchas personas la usan para escanear su información personal, incluidos los correos electrónicos, en busca de cualquier tipo de archivo malicioso. También sirve significativamente como un escáner del lado del servidor.

La herramienta se desarroll√≥ inicialmente, especialmente para Unix. A√ļn as√≠, tiene versiones de terceros que se pueden usar en Linux, BSD, AIX, macOS, OSF, OpenVMS y Solaris. Clam AV realiza una actualizaci√≥n autom√°tica y peri√≥dica de su base de datos para poder detectar incluso las amenazas m√°s recientes. Permite el escaneo de la l√≠nea de comandos y tiene un demonio escalable de subprocesos m√ļltiples para mejorar su velocidad de escaneo.

Puede pasar por diferentes tipos de archivos para detectar vulnerabilidades. Admite todo tipo de archivos comprimidos, incluidos RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, formato SIS, BinHex y casi cualquier tipo de sistema de correo electrónico.

LMD

Linux Malware Detect, o LMD, para abreviar, es otro antivirus de renombre para sistemas Linux, dise√Īado espec√≠ficamente para las amenazas que generalmente se encuentran en los entornos alojados. Al igual que muchas otras herramientas que pueden detectar malware y rootkits, LMD utiliza una base de datos de firmas para encontrar cualquier c√≥digo malicioso en ejecuci√≥n y eliminarlo r√°pidamente.

LMD no se limita a su propia base de datos de firmas. Puede aprovechar las bases de datos de ClamAV y Team Cymru para encontrar a√ļn m√°s virus. Para llenar su base de datos, LMD captura datos de amenazas de los sistemas de detecci√≥n de intrusos en el borde de la red. Al hacer esto, es capaz de generar nuevas firmas para el malware que se usa activamente en los ataques.

LMD se puede utilizar a trav√©s de la l√≠nea de comando “maldet”. La herramienta est√° especialmente dise√Īada para plataformas Linux y puede buscar f√°cilmente a trav√©s de servidores Linux.

Radare2

Radare2 (R2) es un marco para analizar binarios y realizar ingeniería inversa con excelentes capacidades de detección. Puede detectar binarios mal formados, brindando al usuario las herramientas para administrarlos, neutralizando amenazas potenciales. Utiliza sdb, que es una base de datos NoSQL. Los investigadores de seguridad de software y los desarrolladores de software prefieren esta herramienta por su excelente capacidad de presentación de datos.

Una de las características sobresalientes de Radare2 es que el usuario no está obligado a utilizar la línea de comandos para realizar tareas como análisis estático/dinámico y explotación de software. Se recomienda para cualquier tipo de investigación sobre datos binarios.

OpenVAS

Open Vulnerability Assessment System, o OpenVAS, es un sistema alojado para escanear vulnerabilidades y administrarlas. Est√° dise√Īado para empresas de todos los tama√Īos, ayud√°ndolas a detectar problemas de seguridad ocultos dentro de sus infraestructuras. Inicialmente, el producto se conoc√≠a como GNessUs, hasta que su actual propietario, Greenbone Networks, cambi√≥ su nombre a OpenVAS.

Desde la versi√≥n 4.0, OpenVAS permite la actualizaci√≥n continua ‚Äďnormalmente en periodos inferiores a 24 horas‚Äď de su base Network Vulnerability Testing (NVT). A junio de 2016, ten√≠a m√°s de 47¬†000 NVT.

Los expertos en seguridad usan OpenVAS debido a su capacidad para escanear rápidamente. También cuenta con una excelente capacidad de configuración. Los programas OpenVAS se pueden usar desde una máquina virtual autónoma para realizar una investigación segura de malware. Su código fuente está disponible bajo una licencia GNU GPL. Muchas otras herramientas de detección de vulnerabilidades dependen de OpenVAS, por lo que se considera un programa esencial en las plataformas basadas en Linux.

REMnux

REMnux utiliza m√©todos de ingenier√≠a inversa para analizar malware. Puede detectar muchos problemas basados ‚Äč‚Äčen el navegador, ocultos en fragmentos de c√≥digo ofuscados de JavaScript y subprogramas Flash. Tambi√©n es capaz de escanear archivos PDF y realizar an√°lisis forenses de memoria. La herramienta ayuda con la detecci√≥n de programas maliciosos dentro de carpetas y archivos que no se pueden escanear f√°cilmente con otros programas de detecci√≥n de virus.

Es efectivo debido a sus capacidades de decodificación e ingeniería inversa. Puede determinar las propiedades de los programas sospechosos y, por ser liviano, es prácticamente indetectable para los programas maliciosos inteligentes. Se puede usar tanto en Linux como en Windows, y su funcionalidad se puede mejorar con la ayuda de otras herramientas de escaneo.

Tigre

En 1992, la Universidad de Texas A&M comenz√≥ a trabajar en Tiger para aumentar la seguridad de las computadoras de su campus. Ahora, es un programa popular para plataformas similares a Unix. Una caracter√≠stica √ļnica de la herramienta es que no solo es una herramienta de auditor√≠a de seguridad, sino tambi√©n un sistema de detecci√≥n de intrusos.

La herramienta es de uso gratuito bajo una licencia GPL. Depende de las herramientas POSIX, y juntas pueden crear un marco perfecto que puede aumentar significativamente la seguridad de su servidor. Tiger est√° completamente escrito en lenguaje shell, esa es una de las razones de su eficacia. Es adecuado para verificar el estado y la configuraci√≥n del sistema, y ‚Äč‚Äčsu uso multiprop√≥sito lo hace muy popular entre las personas que usan herramientas POSIX.

maltrail

Maltrail es un sistema de detección de tráfico capaz de mantener limpio el tráfico de su servidor y ayudarlo a evitar cualquier tipo de amenaza maliciosa. Realiza esa tarea comparando las fuentes de tráfico con los sitios en la lista negra publicados en línea.

Adem√°s de buscar sitios en la lista negra, tambi√©n utiliza mecanismos heur√≠sticos avanzados para detectar diferentes tipos de amenazas. Aunque es una funci√≥n opcional, resulta √ļtil cuando cree que su servidor ya ha sido atacado.

Tiene un sensor capaz de detectar el tráfico que recibe un servidor y enviar la información al servidor de Maltrail. El sistema de detección verifica si el tráfico es lo suficientemente bueno para intercambiar datos entre un servidor y la fuente.

YARA

Hecho para Linux, Windows y macOS, YARA (Yet Another Ridiculous Acronym) es una de las herramientas más esenciales utilizadas para la investigación y detección de programas maliciosos. Utiliza patrones textuales o binarios para simplificar y acelerar el proceso de detección, lo que resulta en una tarea rápida y fácil.

YARA tiene algunas características adicionales, pero necesita la biblioteca OpenSSL para usarlas. Aunque si no tiene esa biblioteca, puede usar YARA para la investigación básica de malware a través de un motor basado en reglas. También se puede usar en Cuckoo Sandbox, un sandbox basado en Python ideal para realizar investigaciones seguras de software malicioso.

¬ŅC√≥mo elegir la mejor herramienta?

Todas las herramientas que hemos mencionado anteriormente funcionan muy bien, y cuando una herramienta es popular en entornos Linux, puede estar bastante seguro de que miles de usuarios experimentados la están utilizando. Una cosa que los administradores de sistemas deben recordar es que cada aplicación generalmente depende de otros programas. Por ejemplo, ese es el caso de ClamAV y OpenVAS.

Debe comprender qué necesita su sistema y en qué áreas puede tener vulnerabilidades. En primer lugar, use una herramienta liviana para investigar qué sección necesita atención. A continuación, utilice la herramienta adecuada para resolver el problema.