11 Herramientas para Escanear Servidores Linux en Busca de Vulnerabilidades y Malware
11 software para Escanear Servidores Linux en Busca de Vulnerabilidades y Malware

11 Utilidades para Escanear Servidores Linux en Busca de Vulnerabilidades y Malware

A pesar de que los sistemas basados en Linux son considerados los más seguros (¿Por qué no hay Virus en Linux? O si los hay), existen riesgos que deben tomarse en serio.

Rootkits, virus, ransomware y otros tipos de software malicioso pueden atacar y causar problemas en los servidores Linux.

Independientemente del sistema operativo instalado, es necesario aplicar medidas de seguridad más estrictas en los servidores. Grandes corporaciones y organizaciones han incrementado la seguridad y desarrollado herramientas que no solo detectan vulnerabilidades y malware, sino que también las corrigen y previenen diversos problemas. Sin embargo, estos programas son costosos y no todos pueden permitírselos.

Por suerte, existen herramientas asequibles o gratuitas que pueden ayudar a encontrar y solucionar vulnerabilidades. Estas pueden detectar debilidades en diversas áreas de un servidor Linux.

Lynis

Lynis es una conocida herramienta de seguridad popular entre los especialistas en Linux. También funciona en sistemas basados en Unix y macOS. Es un software de código abierto distribuido bajo la licencia GPL desde 2007.

Ejemplo de uso de Lynis
Ejemplo de uso de Lynis

Lynis no requiere instalación. Se puede extraer del paquete descargado o del archivo tar y ejecutarlo. Para acceder a la documentación completa y el código fuente, se puede descargar desde Git.

Lynis fue creado por Michael Boelen, el autor de Rkhunter. Tiene dos versiones: para uso doméstico y empresarial, ambas con excelentes resultados.

Chkrootkit

Como su nombre sugiere, chkrootkit es una herramienta para escanear el sistema en busca de rootkits. Los rootkits son un tipo de software malicioso que otorga acceso no autorizado al sistema. En un entorno con servidores Linux, pueden representar un problema serio.

Chkrootkit es uno de los programas más populares basados en Unix para detectar rootkits en el sistema. Utiliza los comandos “strings” (para visualizar el contenido de un archivo binario) y “grep” para identificar problemas.

Resultados de uso de Chkrootkit
Resultados de uso de Chkrootkit

Se puede ejecutar desde un directorio alternativo o un dispositivo externo en caso de trabajar con un sistema comprometido. Los diversos componentes de chkrootkit buscan registros eliminados en los archivos “wtmp” y “lastlog”, detectan rastros de sniffers o archivos de configuración de rootkits, y también verifican la existencia de registros ocultos en “/proc” o llamadas al programa “readdir”.

Para usar esta herramienta, es necesario descargar la última versión, descomprimir, compilar y ejecutar.

Rkhunter

Michael Boelen desarrolló Rkhunter en 2003. Es un programa muy útil para sistemas POSIX que ayuda a detectar rootkits y otras vulnerabilidades en sistemas Linux. Rkhunter examina minuciosamente archivos (visibles u ocultos), directorios predeterminados, módulos del núcleo y permisos mal configurados en busca de debilidades.

Terminal de uso de Rkhunter
Terminal de uso de Rkhunter

Después de la verificación normal, compara los resultados con registros seguros y correctos en bases de datos, buscando software sospechoso. Dado que está completamente escrito en Bash, se puede utilizar no solo en Linux, sino en todas las versiones de Unix.

ClamAV

ClamAV es un antivirus de código abierto escrito en C++ que ayuda a detectar virus, troyanos y otros tipos de malware. Es completamente gratuito, lo que lo convierte en una opción popular para escanear datos personales, incluyendo correos electrónicos, en busca de archivos maliciosos. También se puede utilizar para escanear servidores.

Lee: Mejores Antivirus para Linux (Ubuntu, Mint y otras Distros)

Inicialmente fue creado solo para Unix, pero hay versiones de terceros para Linux, BSD, AIX, macOS, OpenVMS y Solaris. ClamAV actualiza automáticamente su base de datos para detectar las últimas amenazas. Puede escanear desde la línea de comandos e incluye un demonio multihilo que aumenta significativamente la velocidad de escaneo.

Puede detectar vulnerabilidades en diferentes tipos de archivos y es compatible con formatos comprimidos como RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS, BinHex y casi todos los sistemas de correo electrónico.

LMD

Linux Malware Detect (LMD) es otro producto popular para sistemas Linux, diseñado específicamente para amenazas comunes. Al igual que otros productos para detectar malware y rootkits, LMD utiliza una base de firmas para identificar y eliminar cualquier código malicioso.

Uso de Linux Malware Detection o LMD
Uso de Linux Malware Detection o LMD

No se limita a sus propias bases de firmas; puede utilizar las de ClamAV y Team Cymru para mejorar la detección. LMD recolecta datos sobre vulnerabilidades en sistemas de detección de amenazas para generar nuevas firmas de malware que son explotadas activamente en ataques.

Radare2

Radare2 (R2) es un marco para análisis y ingeniería inversa de archivos binarios con excelentes capacidades de detección. Puede identificar archivos infectados, proporcionar herramientas para gestionarlos y neutralizar amenazas potenciales. El marco utiliza la base de datos NoSQL sdb y es preferido por investigadores de seguridad y desarrolladores de software por su capacidad de visualización de datos.

Análisis con radare2
Análisis con radare2

Una característica distintiva de Radare2 es que no se necesita usar la línea de comandos para tareas como análisis estático o dinámico.

OpenVAS

Open Vulnerability Assessment System, o OpenVAS, es un sistema de gestión y escaneo de vulnerabilidades. Está diseñado para empresas de cualquier tamaño y ayuda a identificar problemas de seguridad ocultos en la infraestructura. Inicialmente conocido como GNessUs, fue renombrado a OpenVAS por Greenbone Networks.

Resultados de OpenVAS
Resultados de OpenVAS

Desde la versión 4.0, OpenVAS proporciona actualizaciones continuas a la Red de Pruebas de Vulnerabilidad en menos de 24 horas. Para junio de 2016, el sistema contaba con más de 47,000 entradas en su base de datos.

OpenVAS es apreciado por expertos en seguridad por su capacidad de escaneo rápido y configuración flexible. Puede utilizarse en máquinas virtuales autónomas para realizar investigaciones seguras de malware.

REMnux

REMnux emplea ingeniería inversa para analizar virus. Puede detectar problemas basados en el navegador, ocultos en fragmentos de código JavaScript o applets Flash modificados. También es capaz de escanear archivos PDF y realizar análisis de memoria.

Es efectivo debido a sus capacidades de decodificación e ingeniería inversa. Puede identificar propiedades de programas sospechosos y es lo suficientemente ligero como para pasar desapercibido para el malware inteligente.

Tiger

En 1992, la Universidad de Texas A&M comenzó a desarrollar Tiger para mejorar la seguridad de los ordenadores del campus. Hoy en día, es la herramienta más popular para plataformas tipo Unix. Es un sistema tanto de auditoría de seguridad como de detección de intrusos.

Se distribuye bajo licencia GPL y depende de herramientas POSIX para crear una infraestructura que puede mejorar significativamente la seguridad del servidor. Está completamente escrito en shell.

Maltrail

Maltrail es un sistema de detección de tráfico que puede garantizar la seguridad del tráfico de tu servidor y ayudar a evitar amenazas. Compara fuentes de tráfico con sitios en listas negras publicadas en internet.

Interfaz Web de Maltrail
Interfaz Web de Maltrail

Además de verificar sitios en listas negras, utiliza mecanismos heurísticos avanzados para detectar varios tipos de amenazas.

YARA

Desarrollada para Linux, Windows y macOS, YARA es una herramienta clave para la investigación y detección de malware. Usa plantillas de texto o binarias para simplificar y agilizar el proceso de detección. YARA puede integrarse con la sandbox Cuckoo, una plataforma basada en Python.


¿Cómo elegir la mejor utilidad?

Todas las herramientas mencionadas funcionan muy bien, y cuando una herramienta es popular en el entorno Linux, es utilizada por miles de usuarios experimentados. Cada aplicación suele depender de otros programas; por ejemplo, esto ocurre con ClamAV y OpenVAS.

Es fundamental entender las necesidades de tu sistema y en qué componentes puede haber vulnerabilidades. Comienza con una herramienta ligera para identificar qué área requiere atención, y luego utiliza la herramienta adecuada para resolver el problema.

My Cart Close (×)

Tu carrito está vacío
Ver tienda