Cargando

Ir a contenido


 


Escanear malware con LMD y ClamAV en CentOS 7

Aunque seamos de Linux, es bueno estar prevenidos y protegidos ante malware. Para ello os detallamos el uso de LMD y ClamAV en CentOS 7.


Escrito por el dic 08 2016 19:00 centos malware virus


 

Uno de los grandes problemas que tenemos hoy en día como usuarios y administradores es luchar contra todo tipo de virus, malware, troyanos, los cuales buscan causar inestabilidad en el sistema y afectar de manera notable archivos, registros y parámetros del sistema lo cual afecta finalmente a todos los usuarios.

 

Los sistemas más atacados son Windows junto a sus navegadores, es bueno contar con antivirus y antimalware correcto. También en caso de Mac están cobrando una fuerza con más peso y se debe estar protegidos igualmente, en malware también. En este tutorial nos centramos en sistemas Linux, que aunque son menos atacados por este estilo de malware, si es necesario estar siempre protegidos, y más si usamos equipos para muchas tareas con internet abierto.

 

Hoy contamos con muchas herramientas que nos ayudan a combatir este tipo de inconvenientes pero la gran mayoría no cumplen de forma correcta con su tarea y quedan muchos elementos sueltos los cuales pueden acarrear problemas y alteraciones en el sistema.

 

Hoy analizaremos detalladamente estas herramientas, de las más usadas para el análisis de vulnerabilidades para sistemas Linux en concreto lo usaremos en CentOS 7 para el testing:

  • ClamAV
  • LMD (Linux Malware Detect)

 

Qué es ClamAV
ClamAV (Clam Antivirus) es un poderoso antivirus OpenSource desarrollado para combatir troyanos, virus, malware y cualquier tipo de amenaza para el sistema.

 

Dentro de las principales características de ClamAV tenemos las siguientes:

  • Gratuito.
  • Multiplataforma ya que puede ser instalado en Windows, Linux o Mac OS.
  • Alto rendimiento al contar con un sistema de escaneo multi amenazas.
  • Es versátil ya que soporta diversos formatos de archivos y múltiples lenguajes.
  • Soporta HTML, PDF y archivos encriptados.

 

Podemos descargar ClamAV desde el siguiente enlace:

 

 

 

Qué es LMD
LMD (Linux Malware Detect – Detector de Malware en Linux) es una herramienta que escanea y detecta malware en los sistemas Linux de forma íntegra.
LMD está desarrollado para entornos de equipos compartidos ya que en estas situaciones es mucho más propensa la propagación de malware.

 

Las características más importantes de LMD son las siguientes:

  • Gratuito.
  • Compatible con otras herramientas de monitoreo como ClamAV.
  • Puede realizar un escaneo en segundo plano.
  • Detecta una amplia variedad de amenazas.
  • Podemos configurarlo para recibir vía correo electrónico reportes sobre nuevas amenazas.
  • Constantes actualizaciones

 

La herramienta podemos descargarla desde el siguiente enlace:

 

 

 

Para conocer el funcionamiento de estas herramientas usaremos CentOS 7.

 

 


1. Instalación de los repositorios y Mailx


El primer paso que daremos es instalar los repositorios EPEL (Extra Packages for Enterprise Linux) y el comando mailx el cual nos permitirá enviar los reportes al correo usando LMD.

 

Para esto ingresaremos los siguientes comandos:

sudo yum -y install epel-release
sudo yum -y install mailx

 

 


2. Instalación de LMD (Linux Malware Detect)


Una vez instalados los repositorios procedemos con la instalación de LMD, para ello ejecutaremos el siguiente comando para la descarga y extracción:
cd /tmp
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzvf maldetect-current.tar.gz

 

A continuación iremos al directorio de maldetect y ejecutaremos el instalador llamado install.sh, para ello usaremos los siguientes comandos:

cd maldetect-1.5
./install.sh

 

El siguiente paso consiste en crear un symlink para el comando maldet en el directorio /bin:

ln -s /usr/local/maldetect/maldet /bin/maldet
hash -r
Crear symlink.

 


3. Configuración de LMD en CentOS 7


Una vez realizado el paso anterior procedemos a la configuración de LMD, recordemos que LMD ha sido instalado en la ruta:
/usr/local/maldet/
Y será necesario editar el archivo de configuración llamado conf.maldet.

 

Usaremos los siguientes comandos:

cd /usr/local/maldetect/
nano conf.maldet
Allí realizaremos los siguientes cambios:
  • En la línea email_alert estableceremos el valor de 0 en 1 para activar el correo.
  • En la línea email_addr debemos ingresar nuestra dirección de correo para la recepción de las alertas.

 

 

Adicionalmente en la línea scan_clamscan establecemos el valor en 1 ya que usaremos ClamAV. En la línea quarantine_hits ajustamos el valor en 1 para enviar el malware detectado a cuarentena.

 

Finalmente en la línea quarantine_clean establecemos el valor 1 para que los elementos en cuarentena sean eliminados.

 

 

Guardamos los cambios usando la combinación de teclas:

 

 

Ctrl + O

 

 

Y salimos del editor usando la combinación:

 

 

Ctrl + X

 

 

 


4. Instalación de ClamAV en CentOS 7


A continuación realizaremos el proceso de instalación de ClamAV y para ello ingresaremos el siguiente comando:
sudo yum -y install clamav clamav-devel

 

Una vez descargado e instalado procedemos a actualizar la base de datos de ClamAV usando el comando:

freshclam
Con ello lo estaremos actualizando.

 

 


5. Analizando el sistema


Una vez tengamos estos parámetros configurados vamos a realizar una prueba descargando algunos malware de la página oficial de Eicar con fines de pruebas.

 

Primero accedemos a la ruta tmp usando el comando:

cd /tmp
Ahora usaremos los siguientes comandos para descargar los respectivos malware:
wget http://www.eicar.org/download/eicar.com
wget http://www.eicar.org/download/eicar.com.txt
Una vez descargados usaremos el siguiente comando para iniciar el proceso de análisis:
maldet --scan-all /tmp

 

Finalmente veremos los resultados del proceso:

 

 

Podemos comprobar que ha detectado 8 malware en el sistema. Podemos enviar el reporte a nuestro correo usando la siguiente sintaxis:

maldet --report · de reporte
El número de reporte lo vemos en la línea final del resultado.

 


6. Parámetros adicionales a considerar


Existen algunas opciones que podemos implementar para filtrar los resultados, éstas son:

 

Realizar un escaneo con una extensión específica
Para ello usaremos la siguiente sintaxis:
maldet -a /tmp/*.(extensión)
Cambiar extensión por una de archivos que queráis escanear.

 

Obtener todos los reportes
Usaremos la siguiente sintaxis:
maldet -e list

 

Escanear archivos que han sido creados en los últimos días
Usaremos la siguiente sintaxis:
maldet -r /tmp (Cantidad de días)

 

Restaurar los archivos desde la carpeta de cuarentena
Para restaurar estos elementos usaremos la siguiente sintaxis:
maldet -s SCANID

 

Vemos que con estas dos herramientas tenemos a mano una gran ayuda para toda la tarea de supervisión y control de malware y demás amenazas en nuestros sistemas CentOS 7 o similares.

 

¿Te ha gustado y ayudado este Tutorial?
Puedes premiar al autor pulsando este botón para darle un punto positivo
  • -
  • 0
10
VOTA
5
100%
4
0%
3
0%
2
0%
1
0%

  Información

  •   Publicado dic 08 2016 19:00
  •   Actualizado dic 08 2016 19:09
  •   Visitas 1.7K
  •   Nivel
    Avanzado



Tutoriales Relacionados


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!
Demuestra que eres experto!
  ESCRIBIR TUTORIAL
Suscribirse