Maldet, antivirus y antimalware para servidores Linux – Guia completa

Autor: | 2016-11-10T17:29:40+00:00 Fecha: 10/11/2016|Categorías: Sysadmin|Comentarios: 6 comentarios

Windows no es el único sistema operativo donde los virus y el malware en general campa a sus anchas, en Linux también hay virus y malware, aunque los mitos dicen que en Linux el malware no existe.

En el mundo del hosting y alojamiento web, también hay malware, los servidores son infectados y los sitios web también.
Normalmente se infecta un sitio web mediante un archivo ejecutable o una puerta trasera, pero el objetivo final suele ser infectar el servidor que aloja esa web para conseguir que el servidor haga determinadas tareas como enviar spam, atacar a otros servidores o participar en algún tipo de botnet aprovechando las características que tiene un servidor y que no tiene un ordenador doméstico.

maldetNosotros como expertos en seguridad de servidores Linux y expertos en seguridad de WordPress, nos encontramos a diarios con instalaciones de WordPress infectadas y con servidores enteros infectados.
(No solo es que nos lo planteen nuestros clientes, sino que tenemos servicios como este, específicos para pelearnos con infecciones en servidores web: https://raiolanetworks.es/servicios-para-wordpress/desinfectar-wordpress/

Entre las herramientas que tenemos para pelearnos con el malware y los virus en servidores Linux, tenemos Maldet, un antimalware que usamos desde la terminal de Linux y que utiliza un potente escáner y una serie de patrones o firmas para detectar malware en el sistema.
Maldet realmente se llama Linux Malware Detect (LMD) y está pensado principalmente para sistemas CentOS.

Maldet no solo sirve para escanear cuando sea necesario, sino que también tiene un modo monitor que está constantemente revisando el sistema en busca de malware, es decir, realiza análisis en tiempo real como cualquier antivirus del mercado para Windows.

En este artículo vamos a intentar hacer una guía completa de uso y configuración de Maldet como herramienta para pelearnos con el malware en servidores Linux, para ello vamos a utilizar una base CentOS para los ejemplos y las pruebas.

Maldet no es una herramienta compleja, pero si queremos que los análisis realizados con Maldet en Linux sean capaces de detectar con eficiencia la mayor parte del malware, debemos realizar una serie de ajustes en la configuración de la herramienta (en el archivo de configuraciones).

Además, podemos aumentar su eficiencia si usamos las firmas de otros antivirus como ClamAV o incluso podemos utilizar el motor de análisis de ClamAV para mejorar el rendimiento y la velocidad de los análisis.

 

Como instalar Maldet en Linux (CentOS)

Antes de nada, como sabemos que el soporte audiovisual una de las mejores opciones para ver cómo se hacen las cosas, te dejamos un video para que veas como instalar Maldet en CentOS:

Como hemos dicho antes, Maldet está pensado para CentOS y sus variantes, esto quiere decir que está pensado para CentOS, Fedora, RedHat, etc…
Esto no quiere decir que no vaya a funcionar en otras distribuciones Linux como Debian, pero no las soporta oficialmente.

La instalación de Maldet en Linux es muy simple, apenas tendremos que ejecutar un par de comandos y realizar una actualización de las firmas de detección para que los análisis posteriores sean eficientes.

Lo primero que vamos a hacer antes de instalar Maldet en CentOS (recordemos que para estas pruebas en este artículo vamos a utilizar CentOS) es actualizar CentOS, para ello ejecutamos el siguiente comando:

Ahora vamos a empezar con la descarga de los archivos de Maldet en el servidor, para ello vamos a empezar por ir a la carpeta donde vamos a descargar, en este caso vamos a hacerlo en /root, para ello ejecutamos el siguiente comando:

Ahora vamos a descargar los archivos con WGET, para ello usamos el siguiente comando:

Esto descargara la última versión de Maldet disponible desde los servidores oficiales.

Ahora vamos a descomprimir el archivo que nos acabamos de descargar, para ello usamos el siguiente comando:

Entramos a la carpeta correspondiente con el siguiente comando:

Ahora vamos a ejecutar el archivo install.sh usando el siguiente comando:

Y con esto se instalara Maldet en nuestro servidor Linux:

maldetAhora vamos a actualizar Maldet, es decir, actualizaremos su base de datos de firmas. Para esto vamos a ejecutar el siguiente comando:

Al actualizarse mostrara algo similar a esto:

maldetCon esto ya tendremos Maldet listo para empezar a analizar, ya solo quedara configurarlo para adaptar su funcionamiento a nuestras necesidades.

 

Configurar Maldet en Linux

Antes de nada, vamos a mostrar más o menos como es el archivo de configuración de Maldet en un video:

Al tratarse de una aplicación en línea de comandos, debemos editar el archivo de configuración utilizando un editor como NANO.

En primer lugar vamos a instalar NANO en el sistema usando el siguiente comando:

Ahora vamos a editar el archivo de configuración de Maldet usando el siguiente comando:

El archivo de configuración de Maldet tiene una serie de variables que podemos configurar o dejar de forma predeterminada, en el video anterior puedes ver como solemos configurar nosotros Maldet en CentOS y a que parámetros les prestamos más atención.

Normalmente, los parámetros que modificamos en el archivo de configuración de Maldet son estos:

  • email_alert: Nos permite poner un 0 o un 1, si ponemos 1 activaremos los avisos de Maldet mediante correo electrónico.
  • email_addr: Nos permite introducir una dirección de correo electrónico a donde se enviaran los avisos de detección.
  • email_ignore_clean: Nos permite que nos lleguen correos de limpieza de malware además de los correos de detección, permite poner 0 o 1, si ponemos 0 nos llegaran los correos.
  • scan_max_depth: Nos permite especificar la profundidad máxima al escanear, normalmente trae 15, pero lo hemos cambiado a 30.
  • scan_min_filesize: Nos permite especificar el tamaño mínimo de archivo a escanear, descartando en los análisis los archivos más pequeños de lo especificado en esta variable, nosotros lo cambiamos a 2.
  • scan_max_filesize: Nos permite especificar el tamaño máximo del archivo a escanear, descartando en los análisis los archivos más grandes de lo especificado en esta variable, nosotros lo subimos a más de 300 MB, es decir, más de 300000k.
  • scan_clamscan: De esta variable hablaremos después, si la mantenemos en 1, Maldet detectara si tenemos instalado ClamAV y usara su motor de análisis en lugar del de Maldet, ya que el de ClamAV es más efectivo y tiene un mejor rendimiento.
  • scan_ignore_root: Si tenemos la opción en 1, Maldet no analizara los archivos cuyo propietario es ROOT, por eso es recomendable cambiarlo a 0, para que analice TODOS los archivos que le indiquemos sin excepción.

En principio, estos son los parámetros que nosotros modificamos antes de realizar un análisis con Maldet en un servidor CentOS donde creemos que existe malware o algún tipo de infección, sea en una web o en los binarios del propio servidor.

 

Analizar malware y virus con Maldet en Linux

Una vez más, dejamos un video de como ejecutar un análisis con Maldet en CentOS, ya que en el video mostramos todo lo necesario para realizar un análisis normal y un análisis en background:

Vamos a mostrar unos ejemplos de cómo analizar con Maldet en Linux, para ello, vamos a partir de la base de que tenemos Maldet instalado, actualizado y configurado.

Si queremos hacer un análisis de TODO el servidor (sin dar más vueltas), tenemos que ejecutar el siguiente comando en la terminal de Linux:

Y si queremos analizar una carpeta específica dentro del servidor, por ejemplo /home/alvaro/ ejecutamos el siguiente comando:

Si queremos ejecutar el análisis en background (el mismo análisis de carpetas) vamos a ejecutar el siguiente comando:

Para recuperar el informe del análisis debemos ejecutar el comando siguiente:

Cuando termine en análisis en background podremos ver el resultado de la misma forma que en un análisis normal y corriente, es decir, usando el comando que nos indica Maldet al final del análisis.

Usando comodines y distintos tipos de parámetros podemos llegar a conseguir darle la forma que queremos a los análisis que hacemos, por ejemplo, con este comando podemos analizar los archivos que se han creado o modificado en los últimos 7 días:

Si lo que queremos es analizar todas las webs que están en carpetas /public_html/ dentro de la carpeta /home/ podemos usar el siguiente comando:

Si queremos listar todos los informes de análisis que hemos hecho con Maldet, podemos ejecutar el siguiente comando:

Y para ver el informe de un análisis en concreto podemos usar el siguiente comando:

En principio con todos estos comandos mencionados aquí, podremos ejecutar análisis y ver sus informes sin problema con Maldet.

 

Maldet y ClamAV

Maldet es una herramienta muy potente y está especializada en entornos web (servidores web).
ClamAV es un antivirus para Linux mucho más genérico, pero su motor de análisis es bastante más potente que el de Maldet y ofrece mucho más rendimiento a la hora de realizar análisis de muchos archivos.

Si juntamos el motor de análisis de ClamAV con las firmas de Maldet complementando a las de ClamAV, conseguimos una herramienta mucho más potente, de hecho, el propio Maldet como hemos explicado en la parte de configuración, permite la integración de ClamAV si lo detecta instalado en el sistema operativo.

Podemos instalar fácilmente ClamAV en CentOS 6 y CentOS 7 usando el siguiente comando:

Y con esto Maldet ya detectara ClamAV instalado en nuestro sistema operativo, si tenemos el parámetro configurado podemos usar el motor de análisis de ClamAV con Maldet.

[Total: 4 Promedio: 5]
Mi nombre es Alvaro Fontela, soy consultor Wordpress y blogger activo desde hace años. Co-Fundador de Raiola Networks, escribiendo sobre Wordpress en este blog día tras día.

Utilizamos cookies propias y de terceros para obtener información estadística, mostrar publicidad personalizada a través del análisis de tu navegación, así como para interactuar en redes sociales. Si continúas navegando, consideramos que aceptas nuestra Política de cookies. ACEPTAR

Aviso de cookies