Existe el mito de que Linux (y otros sistemas Unix, como los BSD y Solaris) no necesita antivirus, porque es un sistema operativo más seguro que Windows. Y ciertamente, lo es: su diferenciación entre el usuario root y los usuarios 'normales', y el sistema de permisos vinculado a la misma, hace que gran parte del malware que podamos ejecutar tenga un efecto mucho más limitado que en Windows.
Se dice también que hay menos malware para Linux porque "menos gente lo usa", pero hay que matizar esa afirmación: la mayor parte de los servidores de Internet funcionan con sistemas Linux, por lo que encontrar formas de atacarlos es una gran motivación para muchos creadores de malware.
Muchos antivirus populares en entornos Windows, como AVG, Avast!, ESET o Kaspersky, están disponibles también para Linux. Sin embargo, su función es fundamentalmente la de detectar malware para Windows, bien para analizar otras particiones en máquinas con arranque dual, bien para analizar archivos que pasan por servidores Samba o de correo.
Pero no tocaremos esas aplicaciones en este artículo: sólo software dedicado a detectar malware propio de Linux dentro de entornos Linux.
Chkrootkit
Su nombre significa 'Comprueba-Rootkit', en referencia a las 'suites' de malware usadas para permitir un continuo acceso privilegiado al sistema por parte del atacante al tiempo que mantiene su presencia oculta a los administradores corrompiendo el funcionamiento normal del sistema.
Chkrootkit cuenta con una base de datos de rootkits conocidos, y se dedica a detectar la presencia de éstos realizando múltiples pruebas entre los binarios y los archivos de configuración del sistema.
Es una aplicación sin interfaz gráfica, pero su uso puede ser tan simple como teclear 'sudo chkrootkit' en la terminal, lo cual ejecutará una (rápida) comprobación completa del sistema, aunque utilizando argumentos podremos delimitar su radio de acción.
Rkhunter
Para muchos, un digno sucesor del vetusto chkrootkit, si bien su uso está menos extendido. Detecta rootkits, y todo tiplo de exploits y puerrtas traseras comparando resúmenes MD5 de los principales archivos de nuestro sistema con las firmas correctas, guardadas en una base de datos online.
Rkhunter también busca otros elementos indicativos de malware, como permisos incorrectos, puertos abiertos, determinados archivos ocultos o cadenas sospechosas en módulos del kernel.
De nuevo estamos ante una herramienta de línea de comandos, que podremos usar con sólo teclear 'sudo rkhunter --check' (de nuevo, asegúrate de conocer todas las opciones que incluye).
ISPProtect
Básicamente, ISPProtect es un escáner de malware y virus enfocado específicamente para su uso en servidores web. Es, para muchos, el mejor en su campo. Cuenta con tres motores de análisis: uno basado en firmas, otros en escaneo heurístico y otro que detecta versiones obsoletas de gestores de contenidos (Wordpress, Joomla, Drupal, etc), uno de los grandes agujeros de seguridad de muchos servidores.
Este programa anti-malware es de pago (82,68 € por la licencia anual, a partir de 5 € si contratamos una licencia por número de usos), pero podremos usar una versión de prueba gratuita si lo necesitamos.
ClamAV
El antivirus por excelencia para Linux. De código abierto, multiplataforma y muy versátil, es básicamente el estándar en entornos Unix: muchos otros programas recurren a él para realizar comprobaciones de ficheros (por ejemplo, servidores de email).
ClamAV también es multiplataforma, con lo que podrías instalarlo incluso en Windows, aunque sólo admite protección en tiempo real en entornos Unix. Como muchos otros antivirus, también es capaz de analizar el contenido de archivos comprimidos.
Escribe 'sudo clamscan -r -i DIRECTORIO' en la terminal y disfruta de tu antivirus linuxero. Si lo instalas junto a ClamTK o KlamAV, podrás contar también con interfaz gráfica y olvidarte de teclear comandos.
Lynis
Lynis es una completa herramienta de escaneo y auditoría de seguridad de código abierto. Comprueba toda clase de elementos del sistema: verifica el software instalado, comprueba los permisos de archivo y la integridad de los mismos, lleva a cabo una auditoría del cortafuegos y de varios archivos de configuración, escaneo malware, etc, etc.
Lynis no lleva a cabo ningún cambio en la configuración de nuestro sistema, pero sí nos da instrucciones sobre cuáles necesitamos y cómo llevarlos a cabo. Podemos ejecutarlo con un 'sudo lynis audit system'.
Ver 24 comentarios