Malware en nuestro servidor web
Existe la posibilidad de que nuestro servidor se vea infectado a través de software web no actualizado o parcheado correctamente. Esto implica que, a través de una vulnerabilidad de nuestro WordPress o Prestashop, por ejemplo, nuestro servidor sea comprometido y perdamos el control sobre qué es lo que ocurre en él.
Dicho software malicioso puede estar oculto en una única línea de código (sin saltos de línea) en uno de nuestro ficheros .php o incluso en un supuesto fichero de imagen del que se hace un «innocuo» include y que es ejecutado por su dueño a través de un simple navegador web.
El llamado CryptoPHP que incluye un sofisticado interfaz web de control para su dueño y que encuentra hábilmente escondido puede llegar a ser un verdadero quebradero de cabeza.
¿Cuál es la mejor forma para deshacerse de ello? Pues usando Linux Malware Detect (LMD).
Lo instalamos de la siguiente forma como root:
cd /opt
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -zxvf maldetect-current.tar.gz
cd maldetect-1.5/
./install.sh
Y ahora toca configurarlo:
vi /usr/local/maldetect/conf.maldet
De ese fichero de configuración quizás queramos cambiar la dirección de email y lo siguiente:
quarantine_hits=»1″
quarantine_clean=»1″
quarantine_suspend_user=»0″
Y ya sólo queda pasarlo con el siguiente comando:
maldet –scan-all /var/www/
Podremos ver el informe (que son almacenados en /usr/local/maldetect/sess/)
maldet –report 151029-0649.24301
Para poner los archivos en cuarentena y limpiarlos usaremos los siguientes comandos:
maldet -q 151029-0649.24301
maldet -n 151029-0649.24301
Y como se queda en «/etc/cron.daily/maldet», podemos dormir un poco más tranquilos.
Últimos Comentarios