Ver destacados

Cómo analizar y eliminar Malware en Linux con Maldet

Manual donde verás cómo instalar, analizar y eliminar malware en sistemas Linux con la herramienta Maldet.
Escrito por
13.8K Visitas  |  Publicado sep 04 2017 13:53
Favorito
Compartir
Comparte esta pagina a tus Amigos y Contactos usando las siguientes Redes Sociales


En un mundo donde cada vez es más común el uso de la red, ya que más del 90% de las tareas diarias, independiente del sector, son realizadas en línea, tal como el pago se de servicios públicos, acceso a correos, creación de archivos y miles de opciones más es frecuente que todos nuestros datos estén expuestos y sean vulnerables debido al incremento de amenazas tales como virus o malware.

 

De forma periódica escuchamos que al usar Linux no estamos expuestos a ataques pero no podemos ocultar la realidad, ya que al estar en un mundo digital estaremos expuestos en menor o mayor medida sin importar el sistema operativo usado y es por esta razón que en Solvetic analizaremos en detalle como analizar y eliminar, en caso de existir, malware en ambientes Linux y para esto usaremos Ubuntu 17.04.

 

Qué es el malware
En primer lugar es importante que aclaremos que significa malware o software malicioso, y este es considerado como un tipo molesto o dañino de software el cual ha sido creado con el propósito de acceder a cualquier dispositivo sin ser advertido y sin que el usuario lo perciba.

 

Algunos tipos de malware incluyen spyware (software espía), adware (software publicitario), phishing, virus, troyanos, gusanos, rootkits, ransomware y secuestradores del navegador afectando la seguridad y privacidad del sistema.

 

En Windows ya vimos los mejores anti-malware. A nivel de ambientes Linux, la mayoría de ataques están dirigidos a explotar bugs en servicios tales como contenedores java o servicios de los navegadores, donde el objetivo principal es cambiar la forma en que funciona el servicio de destino y, a veces, cerrarlo completamente afectando su uso normal.

 

Otro de los tipos de ataque en Linux es cuando un atacante intenta obtener las credenciales de inicio de sesión de un usuario para acceder al sistema y disponer de todo lo que allí está alojado.

 

Qué es Maldet
Maldet o Linux Malware Detect (LMD), es un escáner de malware para Linux el cual fue desarrollado con el fin de manejar amenazas que son comunes en entornos hospedados compartidos.

 

Maldet hace uso de datos de amenaza de los sistemas de detección de intrusos de red para extraer malware que se utiliza activamente en ataques generando firmas para su detección.

 

Está licenciado por GPLv2 de GNU y las firmas que son usadas en LMD son hashes de archivos MD5 y coincidencias de patrones HEX, los cuales también se pueden exportar fácilmente a cualquier número de herramientas de detección como ClamAV.

 

Características de Maldet
Algunas de las características que encontramos en Maldet son:
  • HEX basado en patrones de identificación para identificar las variantes de amenazas.
  • Característica de actualización de firma integrada con -u | -update.
  • Componente de análisis estadístico para la detección de amenazas ofuscadas.
  • Detección integrada de ClamAV.
  • Opción scan-all para el escaneo basado en ruta completa.
  • Cuenta con cola de cuarentena la cual almacena las amenazas de forma segura sin permisos.
  • Posee una opción de restauración de cuarentena para restaurar archivos a la ruta de acceso original.
  • Reglas más limpias para eliminar base64 y gzinflate.
  • Incluye un script cron diario compatible con sistemas stock RH, Cpanel & Ensim.
  • Posee un cron diario de escaneo de todos los cambios en las últimas 24 horas.
  • Monitor de inotify del kernel que puede tomar datos de la trayectoria de STDIN o de ARCHIVO.
  • El monitor inotify del kernel puede restringirse a una raíz html de usuario configurable.
  • Posee un monitor inotify del kernel con límites dinámicos de sysctl para un rendimiento óptimo.
  • Genera informes de alertas de correo electrónico después de cada ejecución de exploración.
  • Opciones de ignorar basada en ruta, extensión y firma.
  • Opción de escáner de fondo para operaciones de exploración desatendidas.

 

 


1. Cómo instalar Maldet en Linux

 

Paso 1

Para iniciar el proceso el primer paso a dar consiste en descargar el archivo ar.gz del sitio oficial usando wget, para ello ejecutaremos lo siguiente en la terminal:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

 

Paso 2

Ahora extraeremos el contenido del archivo descargado ejecutando lo siguiente:
tar -xvf maldetect-current.tar.gz

 

Paso 3

A continuación, accederemos al directorio donde ha sido extraído el contenido, en este caso será:
cd maldetect-1.6.2
Paso 4

Una vez estemos dentro del directorio ejecutaremos el script de instalación usando la siguiente línea:
sudo ./install.sh

 

 


2. Cómo configurar Maldet en Linux

 

Paso 1

Una vez la instalación será correcta es hora de configurar Maldet usando el archivo conf.maldet el cual fue creado automáticamente, accederemos a él usando el editor deseado:
sudo nano /usr/local/maldetect/conf.maldet

 

Paso 2

Allí podemos cambiar los siguientes ajustes a nivel de notificaciones:
  • Si deseamos recibir una notificación cuando un malware es detectado estableceremos en uno (1) el valor del campo email_alert.
  • En el campo email_addr ingresaremos la dirección de correo donde seremos notificados.
  • En el campo email_ignore_clean podemos establecer su valor en uno (1) si no deseamos ser notificados cuando el malware sea limpiado automáticamente.

 

 

 

Paso 3

En el mismo archivo podremos cambiar los siguientes valores a nivel de cuarentena:
  • En el campo quarantine_hits definiremos el valor 1 para que los archivos afectados se pongan en cuarentena automáticamente.
  • En el campo quarantine_clean podemos definir el valor 1 para limpiar automáticamente los archivos afectados, si establece este valor en 0, primero puede inspeccionar los archivos antes de limpiarlos.
  • Al establecer 1 en el campo quarantine_suspend_use serán suspendidos los usuarios cuyas cuentas están afectadas, mientras que el parámetro "quarantine_suspend_user_minuid" establece el ID de usuario mínimo que debe suspenderse. Esto se establece en 500 por defecto.

 

 

 

Paso 4

Una vez definidos estos parámetros guardamos los cambios usando las teclas:

 

 

Ctrl + O

 

 

y salimos del editor usando:

 

 

Ctrl + X

 

 

 


3. Cómo analizar malware en Linux con Maldet

 

Paso 1

Para realizar el análisis en busca de malware ejecutaremos la siguiente sintaxis:
sudo maldet --scan-all /Ruta a escanear

 

Paso 2

Durante el proceso de instalación de Maldet, también será instalada una función cronjob en:
/etc/cron.daily/maldet
La cual escaneará los directorios de inicio, así como todos los archivos o carpetas que se hayan cambiado diariamente. Con Maldet tenemos una herramienta simple para el análisis de malware en ambientes Linux de forma simple y segura.

 

No dejes tu sistema operativo sin protección y elige uno de los mejores antivirus que te proponemos a continuación.

¿Te ayudó este Tutorial?

Ayuda a mejorar este Tutorial!
¿Quieres ayudarnos a mejorar este tutorial más? Puedes enviar tu Revisión con los cambios que considere útiles. Ya hay 0 usuario que han contribuido en este tutorial al enviar sus Revisiones. ¡Puedes ser el próximo!