Aún no has entrado
Debe introducir al menos 3 caracteres en el buscador.
Inicio / Wikis / Tutoriales / Guía de Seguridad del Administrador de Linux - Virus, Caballos de Troya y Gusanos
Guía de Seguridad del Administrador de Linux - Virus, Caballos de Troya y Gusanos
(7 opiniones)
Tutorial de
Kurt Seifried - 16 de Febrero de 2006
Temas Relacionados:
Linux
66. Virus, Caballos de Troya y Gusanos
Linux no es susceptible a los virus de la misma forma que lo son plataformas Dos/Windows o Mac. En UNIX, los controles de seguridad son una parte fundamental del sistema operativo. Por ejemplo, a los usuarios no se les permite escribir de forma promiscua en cualquier dirección de memoria, algo que Dos/Windows y Mac sí permiten.
Para ser justos, existen virus para UNIX. Sin embargo, el único que he visto para Linux se llamaba "bliss", tenía una opción de desinstalación ("--uninstall-please, --desinstalar-porfavor") y debía ejecutarse como root para que fuese efectivo. O citando una vieja frase para UNIX "si no sabes lo que hace un ejecutable, no lo ejecutes como root". Los gusanos perduran más en el mundo UNIX, siendo la primera incidencia la causada por el gusano Internet de Morris, que explotaba una vulnerabilidad en el sendmail. Los gusanos Linux de la actualidad explotan versiones de imapd, sendmail, WU-FTPD y otros demonios. La forma más sencilla es mantenerlos actualizados y no hacer accesibles los demonios a menos que sea necesario. Estos ataques pueden tener bastante éxito, especialmente si encuentran una red de hosts que no está actualizada, pero por lo general su efectividad se desvanece a medida que la gente actualiza sus demonios. En general, no me preocuparía específicamente de estos dos asuntos, y definitivamente no hay necesidad de comprar un software antivirus para Linux.
Los gusanos gozan de una larga y orgullosa tradición en el mundo UNIX, explotando agujeros de seguridad conocidos (generalmente, muy pocos explotan agujeros nuevos/desconocidos) y replicándose pueden exprimir una red. En la actualidad existen diferentes gusanos que están abriéndose paso en máquinas Linux, la mayoría explotando software Bind 4.x e IMAP viejo. Vencerlos es sencillo, como lo es mantener actualizado el software.
Los caballos de Troya también son populares. Hace poco alguien entró en ftp.win.tue.nl∞ y modificó el paquete TCP_WRAPPERS (entre otros) de forma que enviase contraseñas a una cuenta anónima. Se detectó cuando alguien comprobó la firma PGP del paquete y encontró que no estaba autorizada. ¿Cuál es la moraleja? Utiliza software proveniente de sitios fiables, y comprueba la firma PGP.
Desinfección de virus / gusanos / troyanos
Haz copias de seguridad de tus datos, formatea y reinstala el sistema desde medios conocidos. Una vez que el atacante consigue root en un sistema Linux, puede hacer literalmente cualquier cosa, desde comprometer el gcc/egcs hasta cargar interesantes módulos del kernel al arrancar. No confíes en el software no fiable como root. Comprueba las firmas PGP de los ficheros que descargas, etc. Un poco de prevención bloqueará la diseminación de virus, gusanos y troyanos bajo Linux.
La forma más fácil de tratar con virus y similares es utilizar herramientas de integridad de sistema como tripwire, L5 y Gog&Magog, con las cuales se podrá encontrar fácilmente qué ficheros han sido comprometidos y restaurar/reemplazar/actualizarlos. Existen muchos escáners antivirus disponibles para Linux (pero por lo general no existen virus para Linux).
Escáners de virus para Linux
Como ya se ha dicho anteriormente, los virus no son un problema real en el mundo Linux, sin embargo los escáners de virus que se ejecutan en Linux pueden ser útiles. Filtrar el correo u otras formas de contenido en las puertas de enlace de la red (todo el mundo tiene máquinas Windows) puede proporcionar una línea extra de defensa, puesto que las plataformas que proporcionan defensa contra la amenaza no se pueden ver comprometidas por esa amenaza (ojalá). Quizás también se quiera escanear ficheros almacenados en servidores de ficheros de Linux a los que se accede desde clientes Windows. Por suerte existen bastantes buenos antivirus disponibles para Linux.
Sophos Antivirus
El antivirus Sophos es un escáner de virus comercial que se ejecuta en una variedad de plataformas Windows y UNIX. Es gratuito para uso personal, y es relativamente barato para uso comercial. Se puede conseguir en: http://www.sophos.com/∞
AntiVir
AntiVir es otro escáner comercial que se ejecuta en una variedad de plataformas Windows y Linux. Se puede conseguir de: http://www.hbedv.com/∞
Escaneo de Correo Electrónico
AMaViS
El AMaViS utiliza software de terceros (como McAfee) para escanear el correo entrante en busca de virus. Se puede conseguir en: http://aachalon.de/AMaViS/∞. Asegúrate de descargar la última versión, las anteriores han tenido compromisos de root. A fecha de 19 de Julio, la última es: http://aachalon.de/AMaViS/amavis-0.2.0-pre5.tar.gz∞
Sendmail
Utilizar el AMaViS con el sendmail es relativamente simple, tiene un programa llamado "scanmail" que actúa como reemplazo del procmail (generalmente el programa que maneja el reparto local del correo). Cuando llega un correo, en lugar de utilizar el procmail para repartirlo, el Sendmail llama al scanmail, el cual descomprime y descodifica cualquier attachment, y después utiliza un escáner de virus (de tu elección) para escanear los attachments. Si no se encuentra un virus, el correo se reparte como es habitual. Sin embargo, si se encuentra un virus, se envía un correo al emisor, informándole de que han enviado un virus, y se envía un correo al receptor del correo, informándole acerca de la persona que le ha enviado un virus. Las instrucciones se encuentran en: http://satan.oih.rwth-aachen.de/AMaViS/amavis.html∞
Postfix
Puesto que Postfix puede hacer uso del procmail para repartir correo de forma local, en teoría debería funcionar sin ningún problema. En la práctica necesita que se modifiquen algunas cosas para que funcione correctamente. Para habilitarlo, reemplazar la línea de main.cf:
mailbox_command = /usr/bin/procmail
por la línea:
mailbox_command = /usr/sbin/scanmails
y reiniciar el postfix. Para que funcione la advertencia local (se envía una advertencia al receptor del mensaje) el nombre de host de la máquina (sundog, servidorcorreo01, etc) tiene que aparecer listado en "mydestino" en main.cf, o si no no se reparte la advertencia. Se debería (y por lo general lo hacen la mayoría de los sitios) redireccionar el correo del root a una cuenta de usuario, utilizando el fichero de alias, o si no las advertencias no le llegarán al root de forma correcta. Por defecto, el correo de "virusalert" también se redirige a root, también habría que redirigir este correo a una cuenta normal de usuario.
Para ser justos, existen virus para UNIX. Sin embargo, el único que he visto para Linux se llamaba "bliss", tenía una opción de desinstalación ("--uninstall-please, --desinstalar-porfavor") y debía ejecutarse como root para que fuese efectivo. O citando una vieja frase para UNIX "si no sabes lo que hace un ejecutable, no lo ejecutes como root". Los gusanos perduran más en el mundo UNIX, siendo la primera incidencia la causada por el gusano Internet de Morris, que explotaba una vulnerabilidad en el sendmail. Los gusanos Linux de la actualidad explotan versiones de imapd, sendmail, WU-FTPD y otros demonios. La forma más sencilla es mantenerlos actualizados y no hacer accesibles los demonios a menos que sea necesario. Estos ataques pueden tener bastante éxito, especialmente si encuentran una red de hosts que no está actualizada, pero por lo general su efectividad se desvanece a medida que la gente actualiza sus demonios. En general, no me preocuparía específicamente de estos dos asuntos, y definitivamente no hay necesidad de comprar un software antivirus para Linux.
Los gusanos gozan de una larga y orgullosa tradición en el mundo UNIX, explotando agujeros de seguridad conocidos (generalmente, muy pocos explotan agujeros nuevos/desconocidos) y replicándose pueden exprimir una red. En la actualidad existen diferentes gusanos que están abriéndose paso en máquinas Linux, la mayoría explotando software Bind 4.x e IMAP viejo. Vencerlos es sencillo, como lo es mantener actualizado el software.
Los caballos de Troya también son populares. Hace poco alguien entró en ftp.win.tue.nl∞ y modificó el paquete TCP_WRAPPERS (entre otros) de forma que enviase contraseñas a una cuenta anónima. Se detectó cuando alguien comprobó la firma PGP del paquete y encontró que no estaba autorizada. ¿Cuál es la moraleja? Utiliza software proveniente de sitios fiables, y comprueba la firma PGP.
Desinfección de virus / gusanos / troyanos
Haz copias de seguridad de tus datos, formatea y reinstala el sistema desde medios conocidos. Una vez que el atacante consigue root en un sistema Linux, puede hacer literalmente cualquier cosa, desde comprometer el gcc/egcs hasta cargar interesantes módulos del kernel al arrancar. No confíes en el software no fiable como root. Comprueba las firmas PGP de los ficheros que descargas, etc. Un poco de prevención bloqueará la diseminación de virus, gusanos y troyanos bajo Linux.
La forma más fácil de tratar con virus y similares es utilizar herramientas de integridad de sistema como tripwire, L5 y Gog&Magog, con las cuales se podrá encontrar fácilmente qué ficheros han sido comprometidos y restaurar/reemplazar/actualizarlos. Existen muchos escáners antivirus disponibles para Linux (pero por lo general no existen virus para Linux).
Escáners de virus para Linux
Como ya se ha dicho anteriormente, los virus no son un problema real en el mundo Linux, sin embargo los escáners de virus que se ejecutan en Linux pueden ser útiles. Filtrar el correo u otras formas de contenido en las puertas de enlace de la red (todo el mundo tiene máquinas Windows) puede proporcionar una línea extra de defensa, puesto que las plataformas que proporcionan defensa contra la amenaza no se pueden ver comprometidas por esa amenaza (ojalá). Quizás también se quiera escanear ficheros almacenados en servidores de ficheros de Linux a los que se accede desde clientes Windows. Por suerte existen bastantes buenos antivirus disponibles para Linux.
Sophos Antivirus
El antivirus Sophos es un escáner de virus comercial que se ejecuta en una variedad de plataformas Windows y UNIX. Es gratuito para uso personal, y es relativamente barato para uso comercial. Se puede conseguir en: http://www.sophos.com/∞
AntiVir
AntiVir es otro escáner comercial que se ejecuta en una variedad de plataformas Windows y Linux. Se puede conseguir de: http://www.hbedv.com/∞
Escaneo de Correo Electrónico
AMaViS
El AMaViS utiliza software de terceros (como McAfee) para escanear el correo entrante en busca de virus. Se puede conseguir en: http://aachalon.de/AMaViS/∞. Asegúrate de descargar la última versión, las anteriores han tenido compromisos de root. A fecha de 19 de Julio, la última es: http://aachalon.de/AMaViS/amavis-0.2.0-pre5.tar.gz∞
Sendmail
Utilizar el AMaViS con el sendmail es relativamente simple, tiene un programa llamado "scanmail" que actúa como reemplazo del procmail (generalmente el programa que maneja el reparto local del correo). Cuando llega un correo, en lugar de utilizar el procmail para repartirlo, el Sendmail llama al scanmail, el cual descomprime y descodifica cualquier attachment, y después utiliza un escáner de virus (de tu elección) para escanear los attachments. Si no se encuentra un virus, el correo se reparte como es habitual. Sin embargo, si se encuentra un virus, se envía un correo al emisor, informándole de que han enviado un virus, y se envía un correo al receptor del correo, informándole acerca de la persona que le ha enviado un virus. Las instrucciones se encuentran en: http://satan.oih.rwth-aachen.de/AMaViS/amavis.html∞
Postfix
Puesto que Postfix puede hacer uso del procmail para repartir correo de forma local, en teoría debería funcionar sin ningún problema. En la práctica necesita que se modifiquen algunas cosas para que funcione correctamente. Para habilitarlo, reemplazar la línea de main.cf:
mailbox_command = /usr/bin/procmail
por la línea:
mailbox_command = /usr/sbin/scanmails
y reiniciar el postfix. Para que funcione la advertencia local (se envía una advertencia al receptor del mensaje) el nombre de host de la máquina (sundog, servidorcorreo01, etc) tiene que aparecer listado en "mydestino" en main.cf, o si no no se reparte la advertencia. Se debería (y por lo general lo hacen la mayoría de los sitios) redireccionar el correo del root a una cuenta de usuario, utilizando el fichero de alias, o si no las advertencias no le llegarán al root de forma correcta. Por defecto, el correo de "virusalert" también se redirige a root, también habría que redirigir este correo a una cuenta normal de usuario.
Tabla de contenidos
- 1 - Cómo determinar qué asegurar y cómo asegurarlo
- 2 - Instalación segura de Linux
- 3 - Conceptos generales, servidores versus estaciones de trabajo, etc
- 4 - Ficheros del sistema
- 5 - Seguridad de Ficheros / Sistema de ficheros
- 6 - PAM
- 7 - Seguridad Física / de Arranque
- 8 - Seguridad de contraseñas
- 9 - Almacenamiento de Contraseñas
- 10 - Seguridad basica de servicios de red
- 11 - Ficheros basicos de configuración de red
- 12 - TCP-IP y seguridad de redes
- 13 - Seguridad PPP
- 14 - Seguridad IP (IPSec)
- 15 - Cifrado de servicios / datos
- 16 - Rutado
- 17 - Software de Proxy
- 18 - Cortafuegos
- 19 - Telnet
- 20 - SSH
- 21 - FTP
- 22 - HTTP / HTTPS
- 23 - SMTP
- 24 - POP
- 25 - IMAPD
- 26 - DNS
- 27 - NNTP
- 28 - DHCPD
- 29 - RSH, REXEC, RCP
- 30 - NFSD
- 31 - TFTP
- 32 - BOOTP
- 33 - SNMP
- 34 - Finger
- 35 - Identd
- 36 - NTPD
- 37 - CVS
- 38 - rsync
- 39 - lpd
- 40 - Samba
- 41 - Servidores LDAP Linux
- 42 - Sistema X Window
- 43 - Conectividad SNA
- 44 - Software de Autoridad de Certificación para Linux
- 45 - El kernel de Linux
- 46 - Parches de seguridad del kernel y del compilador
- 47 - Herramientas administrativas
- 48 - Gestión de Software
- 49 - Herramientas de monitorización de Hosts
- 50 - Ficheros de Log y otros métodos de monitorización
- 51 - Limitación y monitorización de usuarios
- 52 - Lista de comprobación para la conexión a Internet
- 53 - Métodos de compartición de ficheros
- 54 - Lectores de correo basados en WWW
- 55 - Autentificación Basada en Red
- 56 - Software de Listas de correo
- 57 - Escaneo / herramientas de prueba de intrusos
- 58 - Herramientas de escaneo y detección de intrusos
- 59 - Sniffers de Paquetes
- 60 - Normas de comportamiento / integridad de ficheros
- 61 - Gestión de auditorías
- 62 - Copias de Seguridad
- 63 - Enfrentandose a los ataques
- 64 - Ataques de Negación de Servicio
- 65 - Ejemplos de ataques
- 66 - Virus, Caballos de Troya y Gusanos
- 67 - Distribuciones seguras de Linux
- 68 - Información específica por Distribuidor / Vendedor
- 69 - Información de contacto con vendedores
- 70 - Programación segura
- 71 - Apéndice A: Libros y Revistas
- 72 - Apéndice B: Otra documentación de seguridad sobre Linux
- 73 - Apéndice C: Documentación de seguridad en línea
- 74 - Apéndice D: Sitios de seguridad en general
- 75 - Apéndice E: Sitios de Linux en general
Autor y licencia de 'Guía de Seguridad del Administrador de Linux - Virus, Caballos de Troya y Gusanos'
|
Wikis relacionados con 'Guía de Seguridad del Administrador de Linux - Virus, Caballos de Troya y Gusanos'
Muchas personas imagina que los llamados virus informáticos son unos organismos que flotan en el...
Más »
Los sucesos de la Guerra de Troya se encuentran entremezclados por la mitología y la...
Más »
A lo largo de este trabajo se va a intentar hacer un repaso de los...
Más »
En este documento se presenta la información acerca de la instalación, configuración, ejecución y mantenimiento...
Más »
Esta es la primerísima edición del Linux en Castellano COMO. La audiencia a la que...
Más »
Gente Wiki
¿Quiénes Somos? |
Preguntas Frecuentes |
Condiciones de Uso |
Aviso Legal |
2007 Wikilearning |
Blog |
