Cómo integrar Linux Malware Detection y ClamAV para la detección automática de malware en servidores Linux

Los administradores de sistemas se enfrentan a toda clase de problemas a diario. Por ejemplo, supongamos que se ha implementado Linux como servidor en un centro de datos debido a la confiabilidad y seguridad parte de la plataforma de código abierto; contrario a la creencia popular, el uso de Linux no es la solución definitiva a sus problemas de seguridad. En otras palabras, cualquier equipo conectado a la red es vulnerable, sin importar el sistema operativo.

En estos entornos siempre convergen muchos usuarios con diferentes niveles de acceso y empleando estos servidores con diversos propósitos. Independientemente del uso que se dé al servidor, es importante que los administradores implementen los mecanismos de seguridad necesarios para prevenir potenciales riesgos de seguridad.

En esta ocasión, los especialistas en análisis de malware del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán un método para agregar una capa de protección adicional, integrando Linux Malware Detection (LMD) y ClamAV. Esta combinación emplea LMMD como funcionalidad para la detección de malware y ClamAV como motor antivirus.

Los expertos en análisis de malware mencionan que la configuración de estas herramientas combinadas pueden proteger los servidores Linux contra la mayoría de las amenazas de seguridad conocidas.

Instalación y configuración de LMD

Lo primero que haremos es instalar LMD. Para esto, vaya a su servidor y descargue la última versión usando el siguiente comando:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Una vez que se complete la descarga, descomprima el archivo usando el comando:

tar xvzf maldetect-current.tar.gz

Instale el software usando el siguiente comando:

sudo ./install.sh

Después de instalar LMD, debemos configurarlo para que funcione con ClamAV, que será instalado después, señalan los expertos en análisis de malware.

Abra el archivo de configuración con el siguiente comando:

sudo nano /usr/local/maldetect/conf.maldet

Asegúrese de que los siguientes parámetros de configuración estén establecidos en este archivo:

email_alert = 1
email_addr = EMAIL
email_subj = "Malware alerts for $ HOSTNAME - $ (date +% Y-% m-% d)"
quarantine_hits = 1
quarantine_clean = 1
quarantine_susp = 1
scan_clamscan = "1"

Donde EMAIL es la dirección de correo electrónico a la que se enviarán las notificaciones.

Si no necesita recibir alertas por correo electrónico, deje el parámetro email_alert en 0 y no cambie el registro email_addr, señalan los especialistas en análisis de malware.

Finalmente, guarde y cierre el archivo.

Instalación de ClamAV

El siguiente paso es la instalación de ClamAV. Para hacer esto, ingrese el comando:

sudo apt-get install clamav clamav-daemon –y

Acorde a los especialistas en análisis de malware, si está utilizando una distribución basada en Red Hat, primero debe habilitar el repositorio EPEL con el siguiente comando:

sudo dnf install epel-release –y

Al concluir este paso, puede instalar ClamAV usando estos comandos:

sudo dnf update
sudo dnf install clamd

Primeras pruebas

Para probar este sistema, descargaremos algunos archivos maliciosos al servidor. En este caso, los expertos en análisis de malware recurrieron al uso de EICAR.

Cambie al directorio /srv (empleando el comando cd/srv) y ejecute los siguientes comandos:

sudo wget http://www.eicar.org/download/eicar.com 
sudo wget http://www.eicar.org/download/eicar.com.txt 
sudo wget http://www.eicar.org/download/eicar_com.zip 
sudo wget http://www.eicar.org/download/eicarcom2.zip

Después de haber descargado los archivos, ejecute un escaneo de este directorio usando este comando:

sudo maldet --scan-all / srv

Cuando finalice el análisis, debería ver que el sistema ha encontrado todos los archivos maliciosos y los ha puesto en cuarentena.

Posteriormente los cuatro archivos EICAR se eliminarán del directorio /srv. No necesita preocuparse por iniciar un escaneo manualmente, ya que LMD se configurará para ejecutarse diariamente.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

Atul Narula

Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.

Cómo integrar Linux Malware Detection y ClamAV para la detección automática de malware en servidores Linux

Instalación y configuración de LMD

Instalación de ClamAV

Primeras pruebas

¡Vulnerabilidades críticas en Cisco ASA y FTD! Aprenda a explotar CVE-2024-20353 y CVE-2024-20359

Vulnerabilidades duales en Microsoft SharePoint Server: Pasos esenciales para mitigar

Las vulnerabilidades de alto riesgo en el arranque seguro de la mayoría de los dispositivos Linux del planeta

Los entornos en contenedores son nuevos objetivo de los Hackers a través de vulnerabilidades en runC

Hackear dispositivos Android, Linux, macOS, Windows e iOS a través de Bluetooth utilizando una única vulnerabilidad

Hospitales como Rehenes:Ciberataques Dejan a los Hospitales Franceses en Caos

Hackear lo inhackable: La historia de cómo se hackearon CISA

El hack de Cloudflare: un hacker, 5000 credenciales y código de operación rojo

La Brecha en Boeing: Dentro del Robo de LockBit Ransomware

Objetivos Eternos: Después de Casio, el Grupo Seiko es hackeado nuevamente por una banda de ransomware

La pesadilla de Casio: ¡Cómo un simple error provocó una violación de datos en 149 países!

El mayor proveedor de botellas de refrescos, fabricante de plástico y reciclaje hackeado por ransomware

Google Gemini bajo fuego: vulnerabilidades de seguridad críticas que necesita conocer para hackear Gemini

Hackeando SCCM: Pentesting del System Center Configuration Manager con Misconfiguration Manager

Hackear dispositivos Android, Linux, macOS, Windows e iOS a través de Bluetooth utilizando una única vulnerabilidad

Hackear Windows 10 y 11 con secuestro de DLL Search Order sin derechos de administrador

Así hackean conexiones SSH explotando las vulnerabilidades del protocolo SSH

Nuevas vulnerabilidades de DHCP y cómo se explotan en Active Directory

Hackeando Bluetooth con MiTM: El ataque BLUFFS Bluetooth para infiltrarse en Millones de Dispositivos

Seis pasos para presentar denuncias anónimas ante el gobierno contra empresas hackeadas y obligarlas a pagar multas o tomar medidas

Dentro del Exploit: Cómo los Archivos que Subes a ChatGPT Podrían Ser Robados por una Vulnerabilidad

Esta técnica de Google Calendar permite hackear empresas sin ser detectado

Este bot de Telegram es como ChatGPT para que los estafadores para robar dinero a las víctimas

¿Qué tan fácil es bombardear el celular de alguien con miles de mensajes SMS?

¿Cómo proteger los cortafuegos Cisco Firepower Threat Defense (FTD)?

¿Cómo usar el agente de AWS SSM como puerta trasera y hackear servidores de EC2?

La nueva herramienta FraudGPT permite estafar y hackear fácilmente a las víctimas usando IA

El lado oscuro de los archivos PDF: cómo abrir un PDF simple podría desencadenar una pesadilla de ciberseguridad

El mayor proveedor de botellas de refrescos, fabricante de plástico y reciclaje hackeado por ransomware

¿Visitaste thesaurus.com en busca de sinónimos? Tienes una infección de malware Coinminer

Cómo envian malware a través de Teams, esquivando las funciones de seguridad de Teams

2 grandes empresas de hosting en la nube cierran por ransomware y pierden los datos de clientes