A pesar de que los sistemas basados en Linux son considerados los más seguros (¿Por qué no hay Virus en Linux? O si los hay), existen riesgos que deben tomarse en serio.
Rootkits, virus, ransomware y otros tipos de software malicioso pueden atacar y causar problemas en los servidores Linux.
Independientemente del sistema operativo instalado, es necesario aplicar medidas de seguridad más estrictas en los servidores. Grandes corporaciones y organizaciones han incrementado la seguridad y desarrollado herramientas que no solo detectan vulnerabilidades y malware, sino que también las corrigen y previenen diversos problemas. Sin embargo, estos programas son costosos y no todos pueden permitírselos.
Por suerte, existen herramientas asequibles o gratuitas que pueden ayudar a encontrar y solucionar vulnerabilidades. Estas pueden detectar debilidades en diversas áreas de un servidor Linux.
Lynis
Lynis es una conocida herramienta de seguridad popular entre los especialistas en Linux. También funciona en sistemas basados en Unix y macOS. Es un software de código abierto distribuido bajo la licencia GPL desde 2007.

Lynis no requiere instalación. Se puede extraer del paquete descargado o del archivo tar y ejecutarlo. Para acceder a la documentación completa y el código fuente, se puede descargar desde Git.
Lynis fue creado por Michael Boelen, el autor de Rkhunter. Tiene dos versiones: para uso doméstico y empresarial, ambas con excelentes resultados.
Chkrootkit
Como su nombre sugiere, chkrootkit es una herramienta para escanear el sistema en busca de rootkits. Los rootkits son un tipo de software malicioso que otorga acceso no autorizado al sistema. En un entorno con servidores Linux, pueden representar un problema serio.
Chkrootkit es uno de los programas más populares basados en Unix para detectar rootkits en el sistema. Utiliza los comandos “strings
” (para visualizar el contenido de un archivo binario) y “grep
” para identificar problemas.

Se puede ejecutar desde un directorio alternativo o un dispositivo externo en caso de trabajar con un sistema comprometido. Los diversos componentes de chkrootkit buscan registros eliminados en los archivos “wtmp” y “lastlog”, detectan rastros de sniffers o archivos de configuración de rootkits, y también verifican la existencia de registros ocultos en “/proc” o llamadas al programa “readdir”.
Para usar esta herramienta, es necesario descargar la última versión, descomprimir, compilar y ejecutar.
Rkhunter
Michael Boelen desarrolló Rkhunter en 2003. Es un programa muy útil para sistemas POSIX que ayuda a detectar rootkits y otras vulnerabilidades en sistemas Linux. Rkhunter examina minuciosamente archivos (visibles u ocultos), directorios predeterminados, módulos del núcleo y permisos mal configurados en busca de debilidades.

Después de la verificación normal, compara los resultados con registros seguros y correctos en bases de datos, buscando software sospechoso. Dado que está completamente escrito en Bash, se puede utilizar no solo en Linux, sino en todas las versiones de Unix.
ClamAV
ClamAV es un antivirus de código abierto escrito en C++ que ayuda a detectar virus, troyanos y otros tipos de malware. Es completamente gratuito, lo que lo convierte en una opción popular para escanear datos personales, incluyendo correos electrónicos, en busca de archivos maliciosos. También se puede utilizar para escanear servidores.
Lee: Mejores Antivirus para Linux (Ubuntu, Mint y otras Distros)
Inicialmente fue creado solo para Unix, pero hay versiones de terceros para Linux, BSD, AIX, macOS, OpenVMS y Solaris. ClamAV actualiza automáticamente su base de datos para detectar las últimas amenazas. Puede escanear desde la línea de comandos e incluye un demonio multihilo que aumenta significativamente la velocidad de escaneo.
Puede detectar vulnerabilidades en diferentes tipos de archivos y es compatible con formatos comprimidos como RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS, BinHex y casi todos los sistemas de correo electrónico.
LMD
Linux Malware Detect (LMD) es otro producto popular para sistemas Linux, diseñado específicamente para amenazas comunes. Al igual que otros productos para detectar malware y rootkits, LMD utiliza una base de firmas para identificar y eliminar cualquier código malicioso.

No se limita a sus propias bases de firmas; puede utilizar las de ClamAV y Team Cymru para mejorar la detección. LMD recolecta datos sobre vulnerabilidades en sistemas de detección de amenazas para generar nuevas firmas de malware que son explotadas activamente en ataques.
Radare2
Radare2 (R2) es un marco para análisis y ingeniería inversa de archivos binarios con excelentes capacidades de detección. Puede identificar archivos infectados, proporcionar herramientas para gestionarlos y neutralizar amenazas potenciales. El marco utiliza la base de datos NoSQL sdb y es preferido por investigadores de seguridad y desarrolladores de software por su capacidad de visualización de datos.

Una característica distintiva de Radare2 es que no se necesita usar la línea de comandos para tareas como análisis estático o dinámico.
OpenVAS
Open Vulnerability Assessment System, o OpenVAS, es un sistema de gestión y escaneo de vulnerabilidades. Está diseñado para empresas de cualquier tamaño y ayuda a identificar problemas de seguridad ocultos en la infraestructura. Inicialmente conocido como GNessUs, fue renombrado a OpenVAS por Greenbone Networks.

Desde la versión 4.0, OpenVAS proporciona actualizaciones continuas a la Red de Pruebas de Vulnerabilidad en menos de 24 horas. Para junio de 2016, el sistema contaba con más de 47,000 entradas en su base de datos.
OpenVAS es apreciado por expertos en seguridad por su capacidad de escaneo rápido y configuración flexible. Puede utilizarse en máquinas virtuales autónomas para realizar investigaciones seguras de malware.
REMnux
REMnux emplea ingeniería inversa para analizar virus. Puede detectar problemas basados en el navegador, ocultos en fragmentos de código JavaScript o applets Flash modificados. También es capaz de escanear archivos PDF y realizar análisis de memoria.
Es efectivo debido a sus capacidades de decodificación e ingeniería inversa. Puede identificar propiedades de programas sospechosos y es lo suficientemente ligero como para pasar desapercibido para el malware inteligente.
Tiger
En 1992, la Universidad de Texas A&M comenzó a desarrollar Tiger para mejorar la seguridad de los ordenadores del campus. Hoy en día, es la herramienta más popular para plataformas tipo Unix. Es un sistema tanto de auditoría de seguridad como de detección de intrusos.
Se distribuye bajo licencia GPL y depende de herramientas POSIX para crear una infraestructura que puede mejorar significativamente la seguridad del servidor. Está completamente escrito en shell.
Maltrail
Maltrail es un sistema de detección de tráfico que puede garantizar la seguridad del tráfico de tu servidor y ayudar a evitar amenazas. Compara fuentes de tráfico con sitios en listas negras publicadas en internet.

Además de verificar sitios en listas negras, utiliza mecanismos heurísticos avanzados para detectar varios tipos de amenazas.
YARA
Desarrollada para Linux, Windows y macOS, YARA es una herramienta clave para la investigación y detección de malware. Usa plantillas de texto o binarias para simplificar y agilizar el proceso de detección. YARA puede integrarse con la sandbox Cuckoo, una plataforma basada en Python.
¿Cómo elegir la mejor utilidad?
Todas las herramientas mencionadas funcionan muy bien, y cuando una herramienta es popular en el entorno Linux, es utilizada por miles de usuarios experimentados. Cada aplicación suele depender de otros programas; por ejemplo, esto ocurre con ClamAV y OpenVAS.
Es fundamental entender las necesidades de tu sistema y en qué componentes puede haber vulnerabilidades. Comienza con una herramienta ligera para identificar qué área requiere atención, y luego utiliza la herramienta adecuada para resolver el problema.