Herramientas libres anti-malware y anti-rootkit

Linux suele ser utilizado para rescatar instalaciones de Windows… o sí. ¡Qué gran paradoja!Precisamente, existen varias herramientas libres para quitar malware y rootkits. Veamos algunas de ellas.

Chkrootkit

Chkrootkit o Check Rootkit es un programa famoso de código abierto, es una herramienta que se utiliza para la digitalización de rootkits, botnets, malwares, etc en tu servidor o sistema Unix/Linux. Está probado en: Linux 2.0.x, 2.2.x, 2.4.x, 2.6.x, y 3.xx, FreeBSD 2.2.x, 3.x, 4.x, 5.xy 7.x, OpenBSD 2.x, 3.xy 4.x, 1.6.x NetBSD, Solaris 2.5.1, 2.6, 8.0 y 9.0, HP-UX 11, Tru64, BSDI y Mac OS X. Esta herramienta está preinstalada en BackTrack 5 en la parte de Herramientas forenses y anti-Virus .

Para instalar chkrootkit en una distro basada en Ubuntu o Debian, puedes escribir:

sudo apt-get install chkrootkit

Para comenzar a comprobar los posibles rootkits y puertas traseras en el sistema, escribir el comando:

sudo chkrootkit

Rootkit Hunter

Rootkit Hunter o rkhunter es un escáner de rootkits de código abierto similar a chkrootkit que también está pre-instalado en BackTrack 5 en Herramientas Forenses y Anti-Virus. Esta herramienta analiza en busca de rootkits, backdoors y exploits locales mediante la ejecución de pruebas como: comparación del hash MD5, busqueda de archivos predeterminados utilizados por los rootkits, permisos de archivos erróneos de los binarios, busqueda de cadenas sospechosas en los módulos LKM y KLD, busqueda de archivos ocultos, y es opcional escanear dentro de archivos de texto y binarios.

Para instalar rkhunter en una distro basada en Ubuntu o Debian, puedes escribir:

sudo apt-get install rkhunter

Para iniciar la exploración en el sistema de archivos, escribir el comando:

sudo rkhunter --check

Y si quieres comprobar si hay actualizaciones, ejecute el comando:

sudo rkhunter –update

Después que rkhunter ha terminado de escanear su sistema de archivos, todos los resultados se registran en /var/log/rkhunter.log.

ClamAV

ClamAV es un conocido software anti-virus en Linux. Es el más famoso antivirus de Linux que tiene una versión de interfaz gráfica de usuario diseñada para una detección más fácil de troyanos, virus, malware y otras amenazas maliciosas. ClamAV también se puede instalar en Windows, BSD, Solaris e incluso en MacOSX. El becario investigador de seguridad Dejan de Lucas tiene un tutorial detallado en la página del Instituto de Recursos de InfoSec sobre cómo instalar ClamAV y cómo trabajar con su interfaz en la línea de comandos.

BotHunter

BotHunter es un sistema basado en el diagnóstico de red botnet que sigue el camino de dos flujos de comunicación entre el ordenador personal e Internet. Es desarrollado y mantenido por el Computer Science Laboratory, SRI International, y está disponible para Linux y Unix, pero ahora han lanzado una versión de prueba privada y un pre-lanzamiento para Windows.

Si deseas descargar este programa podrás hacerlo desde aquí . Los perfiles de infección BotHunter se encuentran normalmente en ~ cta-bh/BotHunter/LIVEPIPE/botHunterResults.txt.

Ejemplo de uso para BotHunter2Web.pl:

perl BotHunter2Web.pl [fecha AAAA-MM-DD]-i sampleresults.txt

avast! Linux Home Edition

avast! Linux Home Edition es un motor antivirus ofrecido en forma gratuita, pero sólo para el hogar y no para uso comercial. Incluye un escáner de línea de comandos y en base a la experiencia del autor de la nota original, detecta algunos de los bots de Perl IRC que contiene funciones maliciosas como las funciones udpflood y tcpflood, y permite a su master o controlador del bot para ejecutar comandos arbitrarios con el uso de la función system() para Perl.

Te puedes descargar este software antivirus aquí .

NeoPI

NeoPI es un script en Python útil para la detección de contenido corrupto y cifrado dentro de archivos de texto o scripts. La finalidad de NeoPI es ayudar en la detección de código oculto en shell web. El enfoque de desarrollo de NeoPI fue la creación de una herramienta que puede ser utilizada en combinación con otros métodos de detección comunes basados ​​en firmas o palabras claves. Se trata de un script multiplataforma para Windows y Linux. No sólo ayuda a los usuarios a detectar posibles puertas traseras, sino también scripts maliciosos como botnets IRC, shells udpflood, scripts vulnerables, y herramientas maliciosas.

Para utilizar esta secuencia de comandos de Python, simplemente hay que descargar el código en su sitio oficial github y navegar a través de su directorio:

git clone https://github.com/Neohapsis/NeoPI.git
cd NeoPI

Ourmon

Ourmon es un programa basado en Unix de código abierto y una herramienta de paquetes de red común sniffeando en FreeBSD, pero también puede ser utilizado para la detección de botnets como explica Ashis Dash en su artículo titulado ‘Herramienta de detección de botnets: Ourmon’ en la revista Clubhack o Chmag.

Grep

Y al final, pero no menos importante, tenemos el comando grep, que es una poderosa herramienta de línea de comandos en Unix y Linux. Se utiliza para buscar y probar conjuntos de datos de sondeo para las líneas que coinciden con una expresión regular. Haciéndola corta, esta utilidad fue codificada por Ken Thompson el 3 de marzo de 1973 para Unix. Hoy en día, Grep es conocido para la detección y búsqueda de molestas shells de puerta trasera y también scripts maliciosos.

Grep también se puede utilizar para la detección de secuencias de comandos vulnerables (por ejemplo, la función shell_exec de PHP que es una función riesgosa de PHP que permite la ejecución remota de código o comando de ejecución). Podemos usar el comando grep para buscar el shell_exec() como ventaja en nuestro directorio /var/www para comprobar posibles archivos PHP vulnerables a ICE o la inyección de comandos. Aquí está el comando:

grep-Rn "shell_exec * (" / var / www

Grep es una buena herramienta para detección manual y análisis forense.

Fuente: Linuxaria & Taringa


9 comentarios, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   lucascordobes dijo

    Sobre #Avast es malisimo… lo he tenido instalado y realmente no funciona para nada.
    Excelente articulo… debere probar las demas herramientas!

  2.   LE Oripmav dijo

    wow! exelentes herramientas pero el avast no me ha funciondo solo pone lento el pc se demora 20 min. en iniciar

  3.   Gaius Baltar dijo

    Articulazo, Pablo 😀

  4.   Omar dijo

    Buen día,,

    Interesante el articulo, soy novato en este tema, por eso pregunto, en la primer opción dices como instalar chkrootkit, y después el comando para comprobar los posibles rootkits y puertas traseras en el sistema, y despues que hago? las elimino, las cancelo, las blockeo y si es así como le hago para eliminarlas o blockearlas?

    Gracias

  5.   jorge dijo

    Buen articulo

  6.   federico dijo

    hola soy fede estoy en vuestra pajina muy util , viva linux y el software libre gracias a miles de programadores y hackers de todo el mundo . gracias LINUS TOORVALD , RICHARD STALLMAN , ERICK RAIMOND y tantos otros ,hasta pronto y disculpad x errores en los nombres GRACIAS.

  7.   Acm1pt dijo

    No entiendo nada la puta madre !

    1.    Clau dijo

      mira yo tampoco entiendo mucho pero el otro comentario dijo que era bueno Clam av aparte que tiene tutorial creeo que es lo mejor intentar con eso no ? XD

  8.   Elmar Stellnberger dijo

    debcheckroot (https://www.elstel.org/debcheckroot/) from elstel.org is missing in this list. It is currently the best tool out there to spot rootkits. Most programs like rkhunter and chkrootkit can no more detect a rootkit as soon as it has been slightly modified. debcheckroot is different. It compares the sha256sum of every installed file against the package header.