Mejores herramientas para auditar y escanear seguridad servidor Linux

Aunque mucho se dice que los sistemas operativos Linux no son vulnerables a ataques de virus, hoy en día con las crecientes amenazas que surgen y las diferentes técnicas usadas sin lugar a dudas que ningún sistema esta protegido al 100% y por ello debemos tomar las respectivas medidas de seguridad para evitar ataques y robo de información delicada. Ante esto tenemos dos amenazas que son criticas como son el malware y rootkit, el malware y los rootkits en particular, pueden funcionar de forma integra y completa en Linux como lo hacen en otros sistemas operativos “inseguros”.

 

Solvetic analizará algunas de las mejores herramientas para analizar el sistema Linux en busca de malware o rootkits que puedan poner en riesgo la operación normal de este.

 

Qué es un rootkit
Un rootkit es una especie de herramienta que está en la potestad de actuar de forma independiente, o estar junto a cualquier variante de código malicioso cuyo objetivo principal es ocultar sus propósitos a usuarios y administradores del sistema.

 

La tarea fundamental de un rootkit es ocultar información asociada a procesos, conexiones de red, ficheros, directorios, privilegios, pero puede añadir funcionalidades como las de backdoor o puerta trasera con el fin de proporcionar acceso permanente al sistema o hacer uso de las keylogger cuya tarea es interceptar las pulsaciones del teclado lo cual pone en riesgo inminente las actividades del usuario.

 

Existen diferentes tipos de rootkit como son:

 

Rootkit en espacio de usuario
Este tipo de rootkit se ejecuta directamente en el espacio de usuario en el mismo nivel que otras aplicaciones y archivos binarios, su tarea es sustituir ejecutables legítimos del sistema por otros que han sido modificados, de modo que la información que proporcionan esta manipulada con fines negativos. Dentro de los principales binarios que son atacados por rootkit tenemos ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at y más.

 

Rootkit en espacio de kernel
Es uno de los mas peligrosos ya que en este caso se puede acceder al sistema y obtener los privilegios de superusuario con el fin de instalar un rootkit en modo kernel y, de este modo, lograr un control total del sistema, así, una vez se integre al sistema, su detección será mucho más compleja ya que se mueven en un nivel de privilegio superior con permisos para ser modificados y modificar no solo los binarios sino también las propias funciones y llamadas del sistema operativo.

 

Bootkits
Estos tienen la capacidad de agregar funcionalidades de arranque a los rootkits y de este mod afectar al firmware de sistemas y sectores de arranque de discos.

 

Qué es un malware
Malware (Malicious software), es básicamente un programa que tiene la función de dañar un sistema o causar un mal funcionamiento tanto en el sistema como en las aplicaciones allí instaladas, dentro de este grupo encontramos Virus, Troyanos (Trojans), Gusanos (Worm), keyloggers, Botnets, Ransomwares, Spyware, Adware, Rogues y muchos más.

 

El malware tiene diferentes vías de acceso por donde se puede insertar en el sistema como:

  • Redes Sociales
  • Sitios webs fraudulentos
  • Dispositivos USB/CDs/DVDs infectados
  • Adjuntos en Correos no solicitados (Spam)

 

Ahora veremos las mejores herramientas para detectar estas amenazas y proceder con su corrección.

 

Lynis

 

Lynis es una herramienta de seguridad diseñada para sistemas que ejecutan Linux, macOS o un sistema operativo basado en Unix.
Su función radica en realizar un análisis de salud extenso del sistema con el fin de soportar el refuerzo del sistema y ejecutar las pruebas de cumplimiento necesarias para descartar amenazas. Lynis es un software de fuente abierta con licencia GPL y está disponible desde el año 2007.

 

Acciones principales
Sus principales aciones están enfocadas en:
  • Auditorías de seguridad
  • Pruebas de cumplimiento como PCI, HIPAA, SOx
  • Pruebas de penetración para ver la seguridad interna
  • Detección de vulnerabilidades
  • Endurecimiento del sistema
Lynis puede ser usada en sistemas AIX, FreeBSD, HP-UX, Linux, macOS, NetBSD, NixOS, OpenBSD y Solaris

 

Para su instalación, en primer lugar, descargaremos el archivo del sitio oficial:

cd /opt/
wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz

 

Extraemos el contenido:

tar xvzf lynis-2.6.6.tar.gz

 

Finalmente movemos la aplicación al directorio correcto:

mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
La exploración de Lynis está basada en la oportunidad, es decir, solo usará lo que esta disponible como las herramientas o bibliotecas disponibles, así, al usar este método de escaneo, la herramienta puede ejecutarse casi sin dependencias.

 

Qué abarca
Los aspectos que abarca Lynis son:
  • Inicialización y controles básicos
  • Determinar el sistema operativo y las herramientas adjuntas
  • Buscar utilidades del sistema disponibles
  • Verificar la actualización de Lynis
  • Ejecutar complementos habilitados
  • Ejecutar pruebas de seguridad basada en categoría
  • Realizar la ejecución de pruebas personalizadas
  • Informar sobre el estado de la exploración de seguridad

 

Para ejecutar un análisis completo del sistema ejecutamos:

lynis audit system

 

Allí iniciará todo el proceso de análisis y finalmente veremos todos los resultados en categorías:

 

 

Es posible habilitar que el funcionamiento de Lynis sea automático en un rango de tiempo definido, para ello debemos agregar la siguiente entrada cron, la cual se ejecutará, en este caso, a las 11 de la noche y enviará informes a la dirección de correo electrónico ingresada:

0 23 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Reporte de Lynis " correo@dominio.com

 

Rkhunter

 

RKH (RootKit Hunter), es una herramienta gratuita, de código abierto y de uso simple gracias a la cual será posible escanear puertas traseras (backdoors), rootkits y exploits locales en sistemas compatibles con POSIX, como Linux.Su tarea es detectar de rootkits, ya que se creo como una herramienta de monitoreo y análisis de seguridad la cual inspecciona en detalle el sistema para detectar agujeros de seguridad ocultos.

 

La herramienta rkhunter puede ser instalada usando el siguiente comando en los sistemas basados en Ubuntu y CentOS:

sudo apt install rkhunter(Ubuntu)
yum install epel-release(CentOS)
yum install rkhunter(CentOS)

 

Ingresamos la letra S para confirmar la descarga e instalación de la utilidad. Una vez instalado, podemos supervisar el sistema ejecutando lo siguiente:

sudo rkhunter -c

 

Allí continuará el proceso de análisis del sistema en busca de situaciones de peligro:

 

 

Allí analizará todas las opciones de rootkit existentes y ejecutar acciones de análisis adicionales sobre la red y otros elementos.

 

Chkrootkit

 

Chkrootkit es otra de las herramientas que han sido desarrolladas para verificar localmente si existen rootkit, esta utilidad incluye:

 

chkrootkit
Es un script de shell que verifica los binarios del sistema para la modificación del rootkit.

ifpromisc.c
Comprueba si la interfaz está en modo promiscuo

chklastlog.c
Comprueba las eliminaciones de lastlog

chkwtmp.c
Comprueba las eliminaciones de wtmp

check_wtmpx.c
Comprueba las eliminaciones de wtmpx

chkproc.c
Busca indicios de troyanos LKM

chkdirs.c
Busca indicios de troyanos LKM

strings.c
Reemplazo de cadenas rápido y sucio

chkutmp.c
Comprueba las eliminaciones de utmp

 

Chkrootkit puede ser instalada ejecutando:

sudo apt install chkrootkit

 

Para el caso de CentOS debemos ejecutar:

yum update
yum install wget gcc-c++ glibc-static
wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar –xzf chkrootkit.tar.gz
mkdir /usr/local/chkrootkit
mv chkrootkit-0.52/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
make sense
Para ejecutar esta herramienta podemos usar alguna de las siguientes opciones:
sudo chkrootkit
/usr/local/chkrootkit/chkrootkit

 

 

ClamAV

 

Otra de las soluciones conocidas para el análisis de vulnerabilidades en Linux es ClamAV la cual se ha desarrollado como un motor antivirus de código abierto (GPL) que puede ser ejecutado para diversas acciones incluyendo la exploración de correo electrónico, el escaneo web y la seguridad del punto final.

 

ClamAV nos ofrece una serie de utilidades dentro de las cuales se cuentan un daemon multiproceso flexible y escalable, un escáner de línea de comandos y una herramienta avanzada para actualizaciones automáticas de bases de datos.

 

Caracteristicas
Dentro de sus características más sobresalientes encontramos:
  • Escáner de línea de comandos
  • Interfaz Milter para sendmail
  • Actualizador de base de datos avanzado con soporte para actualizaciones con script y firmas digitales
  • Soporte integrado para formatos de archivo como Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS y otros
  • Base de datos de virus actualizada constantemente
  • Soporte integrado para todos los formatos de archivos de correo estándar
  • Soporte integrado para ejecutables ELF y archivos Portable Executable empaquetados con UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack y ofuscados con SUE, Y0da Cryptor y otros
  • Compatibilidad incorporada para formatos de documentos de MS Office y MacOffice, HTML, Flash, RTF y PDF.

 

 

Para instalar ClamAV vamos a ejecutar el siguiente comando:

sudo apt install clamav

 

Ingresamos la letra S para confirmar la descarga e instalación de ClamAV.

 

En el caso de CentOS, podemos ejecutar lo siguiente:

yum -y update
yum -y install clamav
Para la ejecución de ClamAV vamos a ejecutar lo siguiente:
sudo clamscan -r -i “Directorio”

 

 

LMD – Linux Malware Detect

 

Linux Malware Detect (LMD) se ha desarrollado como un escáner de malware para Linux bajo la licencia GNU GPLv2, cuya función principal es usar los datos de amenaza de los sistemas de detección de intrusos para extraer el malware que es usado de forma activa en los ataques y puede generar firmas para la detección de estas amenazas.

 

Las firmas que LMD usa son hashes de archivos MD5 y coincidencias de patrones HEX, los cuales también se pueden exportar fácilmente a diversas herramientas de detección como ClamAV.

 

Características
Dentro de sus características encontramos:
  • Detección integrada de ClamAV para usarse como motor de escáner para mejores resultados
  • Detección de hash de archivos MD5 para identificación rápida de amenazas
  • Componente de análisis estadístico para la detección de amenazas
  • Función de actualización de versión integrada con -d
  • Función integrada de actualización de firmas con -u
  • Script cron diario compatible con los sistemas de estilo RH, Cpanel & Ensim
  • Kernel inotify monitor el cual puede tomar datos de ruta de STDIN o FILE
  • Escaneo diario basado en cron de todos los cambios en las últimas 24 horas en los registros de usuario
  • Opción de restauración de cuarentena para restaurar archivos en la ruta original, incluyendo propietario
  • Opciones de ignorar reglas basadas en rutas, extensiones y firmas

 

Para instalar LMD en Linux vamos a ejecutar lo siguiente:

cd /tmp/
curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -zxvf maldetect-current.tar.gz
cd maldetect-1.6.2/
bash install.sh

 

Ahora, podemos ejecutar el directorio deseado, en este caso tmp así:

maldet -a /tmp

 

 

Con alguna de estas herramientas será posible preservar la integridad de nuestro sistema evitando la presencia de malware o rootkits.

 

La seguridad de nuestro sistema operativo es un tema de vital importancia. Si quieres aumentar los niveles de seguridad en entornos Linux sigue leyendo!

Solvetic Seguridad

(Staff)
Soy redact@r oficial de Solvetic.com!
Te Puede Interesar
Últimas Recopilaciones