El malware y los virus no solo se extienden a través de ordenadores Windows, cada dia cientos y cientos de miles de servidores web son inficionados en todo el mundo aprovechando vulnerabilidades en el software o fallos de seguridad en el código de las aplicaciones web instaladas en esos servidores.
Ya hemos hablado múltiples veces de la seguridad de WordPress y de lo que puede ocasionar un simple malware en un sitios en un servidor, pudiendo llegar a inmovilizar todo el servidor y a ocasionar graves consecuencias en la reputación de la dirección IP o bien aun el robo de datos.

El proceso que describiremos en este manual lo usamos bastante cuando alguno de nuestros clientes del servicio de servidores VPS nos avisa de que tiene malware en su servidor VPS, en el caso de nuestros servidores dedicados no nos pasa, puesto que todos nuestros dedicados son administrados y tenemos medidas proactivas para que el malware no llegue a colarse”.

maldet install centos

Cuando nos avisan de que un VPS con Linux tiene un malware lo primero que hacemos es entrar por línea de comandos mediante SSH (Putty) y ejecutar el que estimamos entre los mejores antimalware para Linux: Maldet.
LMD (Linux Malware Detect) o asimismo llamado Maldet es un antimalware bastante potente que se acostumbra a combinar con ClamAV, un antivirus opensource. Esta combinación es bastante potente y es de la que hablaremos en este pequeño manual.

En este caso vamos a proseguir el manual sobre uno de nuestros VPS con CentOS instalado, con lo que el manual es válido para las últimas versiones de CentOS y además de esto para otros sistemas operativos similares como Fedora o RedHat.

Lo primero que vamos a hacer es ejecutar la descarga de Maldet desde un sitios, en tanto que no es posible encontrar Maldet en los repositorios:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Ahora vamos a descomprimir el archivotar.gz que acabamos de descargar desde RFXN con el siguiente comando:

tar -xvf maldetect-current.tar.gz

Lo siguiente que vamos a hacer es entrar a la carpetita que se termina de crear al descomprimir el archivotar.gz, la carpeta suele llevar el nombre de maldetect-” y la última versión libre que es la descargada, por ejemplo: maldetect-1.4.2”.

Entramos dentro de la carpeta con un comando afín a este, pero ajustándonos a la versión que hemos descargado:

cd maldetect-catorce

Y ahora ejecutamos el instalador de Maldet utilizando el install.sh” que contiene su carpeta, para esto ejecutamos el siguiente comando tras entrar en la carpeta con el comando anterior:

./install.sh

Se descargaran durante la instalación las últimas versiones de las firmas de detección de Maldet, esto es bueno puesto que cuanto más actualizadas estén las firmas de nuestro anti-malware, mejor detectara y mejor protegidos estaremos contra las nuevas amenazas.

Al terminar la instalación vamos a realizar ciertos cambios sobre un fichero de configuración de Maldet, a mí me gusta emplear NANO y en este manual usare NANO para editar los archivos, mas puedes emplear cualquier otro (vim, vi, etc…).
Ejecutamos el próximo comando para dirigirnos a la carpetita donde está el archivo que debemos editar:

cd /usr/local/maldetect/

Y ahora editamos el fichero en cuestión, en este caso con NANO:

nano conf.maldet

Ahora (en el fichero conf.maldet) debemos cambiar los valores de las próximas variables si están de forma distinta:

email_alert=1
[email protected]
email_subj=”Malware alerts for dólares americanos HOSTNAME – dólares americanos (date + por cien Y- por ciento m- por ciento d)”
quar_hits=1
quar_clean=1
quar_susp=1

Estamos configurando Maldet para trabajar así como el antivirus opensource ClamAV, que aunque no es entre los motores antivirus más efectivos, algo es algo.

Lo siguiente que vamos a hacer es descargar y también instalar ClamAV y sus firmas utilizando el próximo comando:

yum update && yum install clamd

Con esto ya vamos a tener Maldet y ClamAV listos para analizar y advertir virus y malware en el servidor, así que vamos a dar la orden de análisis.

Generalmente, los ficheros de los usuarios se encuentran en la carpeta HOME de Linux, a nosotros esto nos pasa bastante en nuestros servidores VPS optimados con VestaCP, con lo que estamos habituados a ejecutar Maldet en estos VPS siempre y en toda circunstancia sobre la carpeta HOME que es donde los usuarios tienen guardaros TODOS sus archivos.

Para ejecutar un análisis sobre la carpetita HOME deberíamos ejecutar el próximo comando:

maldet -scan-all /home/

Si por contra deseas examinar TODO el contenido de la raíz del servidor puedes emplear el siguiente comando:

maldet -scan-all /

Con esto comenzase el análisis con Maldet y ClamAV, el tiempo que tardan en examinar el propósito depende de la cantidad de ficheros y su tamaño, además de esto, asimismo debemos tener en cuenta que Maldet al analizar efectúa un gran consumo de recursos y en servidores en producción puede ocasionar un alto porcentaje de I/O Wait que dificulten el adecuado funcionamiento del servidor y que por si fuera poco se produzca una ralentización del análisis y de todas y cada una de las tareas ejecutadas por el servidor.

Maldet tiene una forma de trabajar bastante peculiar, puesto que no efectúa un análisis al vuelo de todos y cada uno de los ficheros que se marcha encontrando dentro de las carpetas concretadas, sino que primero realiza un listado o bien index” con todos y cada uno de los archivos que tiene que analizar y posteriormente los examina.

Finalmente cuando acabe el análisis Maldet no muestra directamente los resultados, sino envía un correo a la dirección que hemos configurado anteriormente, mas en caso de que ese correo jamás llegue, podemos acceder al análisis de Maldet con un enlace” que nos proporciona al finalizar el análisis.
Un ejemplo de lo que hay que ejecutar para poder ver el desenlace es esto (depende de la data y la hora de ejecución del análisis):

maldet -report treinta doscientos quince-1729.7451

Comento lo de que a veces falla el envió del correo por una sencilla razón, cuando tenemos que emplear Maldet en general es porque un servidor está infectado, y lo más normal es que ese servidor lo tengamos bloqueado para que no envié SPAM, por lo que ese correo NUNCA nos llegase.

Si tras todo cuanto te he explicado no te ha quedado claro de qué manera usar Maldet con ClamAV tienes 2 opciones, la primera es ver el video que te voy a dejar acá abajo y que hemos grabado para orientarte y lo segundo es seguir leyendo y contratar nuestros servicios profesionales:

Si tienes un servidor VPS o servidor dedicado inficionado y no sabes de qué forma sacar el virus y los malware que habitan en él, contacta con nosotros sin compromiso alguno y te informaremos sobre nuestra disponibilidad y nuestras tarifas.