Identificarse Crear Cuenta
Cargando
  1. Home
  2. Tutoriales
  3. Seguridad
  4. Escanear malware con LMD y ClamAV en CentOS 7



Escanear malware con LMD y ClamAV en CentOS 7

Aunque seamos de Linux, es bueno estar prevenidos y protegidos ante malware. Para ello os detallamos el uso de LMD y ClamAV en CentOS 7.

#centos

dic 08 2016 20:00
Avanzado
Total de Apartados : 6
dic 08 2016 20:09

Apartados del Tutorial

1Instalación de los repositorios y Mailx 2Instalación de LMD (Linux Malware Detect) 3Configuración de LMD en CentOS 7 4Instalación de ClamAV en CentOS 7 5Analizando el sistema 6Parámetros adicionales a considerar

clamav-lmd-linux-centos.png

 

Uno de los grandes problemas que tenemos hoy en día como usuarios y administradores es luchar contra todo tipo de virus, malware, troyanos, los cuales buscan causar inestabilidad en el sistema y afectar de manera notable archivos, registros y parámetros del sistema lo cual afecta finalmente a todos los usuarios.

 

Los sistemas más atacados son Windows junto a sus navegadores, es bueno contar con antivirus y antimalware correcto. También en caso de Mac están cobrando una fuerza con más peso y se debe estar protegidos igualmente, en malware también. En este tutorial nos centramos en sistemas Linux, que aunque son menos atacados por este estilo de malware, si es necesario estar siempre protegidos, y más si usamos equipos para muchas tareas con internet abierto.

 

Hoy contamos con muchas herramientas que nos ayudan a combatir este tipo de inconvenientes pero la gran mayoría no cumplen de forma correcta con su tarea y quedan muchos elementos sueltos los cuales pueden acarrear problemas y alteraciones en el sistema.

 

Hoy analizaremos detalladamente estas herramientas, de las más usadas para el análisis de vulnerabilidades para sistemas Linux en concreto lo usaremos en CentOS 7 para el testing:

  • ClamAV
  • LMD (Linux Malware Detect)

 

Qué es ClamAV
ClamAV (Clam Antivirus) es un poderoso antivirus OpenSource desarrollado para combatir troyanos, virus, malware y cualquier tipo de amenaza para el sistema.

 

Dentro de las principales características de ClamAV tenemos las siguientes:

  • Gratuito.
  • Multiplataforma ya que puede ser instalado en Windows, Linux o Mac OS.
  • Alto rendimiento al contar con un sistema de escaneo multi amenazas.
  • Es versátil ya que soporta diversos formatos de archivos y múltiples lenguajes.
  • Soporta HTML, PDF y archivos encriptados.

 

Podemos descargar ClamAV desde el siguiente enlace:

 

 

 

Qué es LMD
LMD (Linux Malware Detect – Detector de Malware en Linux) es una herramienta que escanea y detecta malware en los sistemas Linux de forma íntegra.
LMD está desarrollado para entornos de equipos compartidos ya que en estas situaciones es mucho más propensa la propagación de malware.

 

Las características más importantes de LMD son las siguientes:

  • Gratuito.
  • Compatible con otras herramientas de monitoreo como ClamAV.
  • Puede realizar un escaneo en segundo plano.
  • Detecta una amplia variedad de amenazas.
  • Podemos configurarlo para recibir vía correo electrónico reportes sobre nuevas amenazas.
  • Constantes actualizaciones

 

La herramienta podemos descargarla desde el siguiente enlace:

 

 

 

Para conocer el funcionamiento de estas herramientas usaremos CentOS 7.

 

 


1. Instalación de los repositorios y Mailx


El primer paso que daremos es instalar los repositorios EPEL (Extra Packages for Enterprise Linux) y el comando mailx el cual nos permitirá enviar los reportes al correo usando LMD.

 

Para esto ingresaremos los siguientes comandos:

sudo yum -y install epel-release
sudo yum -y install mailx

mailx-LMD-malware-linux-1.png

 

 


2. Instalación de LMD (Linux Malware Detect)


Una vez instalados los repositorios procedemos con la instalación de LMD, para ello ejecutaremos el siguiente comando para la descarga y extracción:
cd /tmp
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzvf maldetect-current.tar.gz

descargar-maldetect-lmd-clamav-2.png

 

A continuación iremos al directorio de maldetect y ejecutaremos el instalador llamado install.sh, para ello usaremos los siguientes comandos:

cd maldetect-1.5
./install.sh

instalar-maldetect-3.png

 

El siguiente paso consiste en crear un symlink para el comando maldet en el directorio /bin:

ln -s /usr/local/maldetect/maldet /bin/maldet
hash -r
Crear symlink.

 


3. Configuración de LMD en CentOS 7


Una vez realizado el paso anterior procedemos a la configuración de LMD, recordemos que LMD ha sido instalado en la ruta:
/usr/local/maldet/
Y será necesario editar el archivo de configuración llamado conf.maldet.

 

Usaremos los siguientes comandos:

cd /usr/local/maldetect/
nano conf.maldet
Allí realizaremos los siguientes cambios:
  • En la línea email_alert estableceremos el valor de 0 en 1 para activar el correo.
  • En la línea email_addr debemos ingresar nuestra dirección de correo para la recepción de las alertas.

 

conf-maldet-5.png

 

Adicionalmente en la línea scan_clamscan establecemos el valor en 1 ya que usaremos ClamAV. En la línea quarantine_hits ajustamos el valor en 1 para enviar el malware detectado a cuarentena.

 

Finalmente en la línea quarantine_clean establecemos el valor 1 para que los elementos en cuarentena sean eliminados.

 

conf-maldet-6.png

 

Guardamos los cambios usando la combinación de teclas:

 

 

Ctrl + O

 

 

Y salimos del editor usando la combinación:

 

 

Ctrl + X

 

 

 


4. Instalación de ClamAV en CentOS 7


A continuación realizaremos el proceso de instalación de ClamAV y para ello ingresaremos el siguiente comando:
sudo yum -y install clamav clamav-devel

instalar-clamav-7.png

 

Una vez descargado e instalado procedemos a actualizar la base de datos de ClamAV usando el comando:

freshclam
Con ello lo estaremos actualizando.

 

 


5. Analizando el sistema


Una vez tengamos estos parámetros configurados vamos a realizar una prueba descargando algunos malware de la página oficial de Eicar con fines de pruebas.

 

Primero accedemos a la ruta tmp usando el comando:

cd /tmp
Ahora usaremos los siguientes comandos para descargar los respectivos malware:
wget http://www.eicar.org/download/eicar.com
wget http://www.eicar.org/download/eicar.com.txt
Una vez descargados usaremos el siguiente comando para iniciar el proceso de análisis:
maldet --scan-all /tmp

sudo-maldet-scan-all-clamav-8.png

 

Finalmente veremos los resultados del proceso:

 

analisis-clamav-lmd-9.png

 

Podemos comprobar que ha detectado 8 malware en el sistema. Podemos enviar el reporte a nuestro correo usando la siguiente sintaxis:

maldet --report · de reporte
El número de reporte lo vemos en la línea final del resultado.

 


6. Parámetros adicionales a considerar


Existen algunas opciones que podemos implementar para filtrar los resultados, éstas son:

 

Realizar un escaneo con una extensión específica
Para ello usaremos la siguiente sintaxis:
maldet -a /tmp/*.(extensión)
Cambiar extensión por una de archivos que queráis escanear.

 

Obtener todos los reportes
Usaremos la siguiente sintaxis:
maldet -e list

 

Escanear archivos que han sido creados en los últimos días
Usaremos la siguiente sintaxis:
maldet -r /tmp (Cantidad de días)

 

Restaurar los archivos desde la carpeta de cuarentena
Para restaurar estos elementos usaremos la siguiente sintaxis:
maldet -s SCANID

 

Vemos que con estas dos herramientas tenemos a mano una gran ayuda para toda la tarea de supervisión y control de malware y demás amenazas en nuestros sistemas CentOS 7 o similares.

 

 

Usar ClamAV en Ubuntu

 


¿Te ayudó este Tutorial?


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

Apartados del Tutorial
X
Identificarse

Formulario para iniciar sesión, si necesitas una cuenta Regístrate!

  He olvidado mi contraseña
IDENTIFICARSE
  Realizar Pregunta
¿Sigues sin solución a tu pregunta? Realiza una nueva: Crear Pregunta