Seguridad del sistema Linux- Antivirus -Antivirus Línea de Comandos
ClamAV es un poderoso motor antivirus multiplataforma que además lleva ya muchísimos años de experiencia sirviendo en las distribuciones GNU/Linux. Esta fantástica aplicación Open Surce cuenta ya a sus espaldas con muchísimas vivencias en la lucha y control de los virus , troyanos, etc, en los PC de medio mundo. Comenzó como un eficaz escáner puntual de los archivos de correo para ocupar un lugar destacado y de confianza por su versatilidad en nuestras PC.
¡Ahora pensareis! ¿Es necesario un antivirus en nuestros sistemas Linux? ¿No se supone que los virus apenas afectan a Linux? Veréis yo llevo muchos años usando diferentes distros Linux y no me he encontrado aún con un sistema Linux dañado gravemente por un virus o similar debido principalmente por las características intrínsecas de este sistema, ya que cuenta con diversos aspectos que lo hacen difícilmente atacable, como es ese férreo control de privilegios de las cuentas de usuario, posee un poderosos Firewall activado por defecto y además cuenta con constantes actualizaciones a todos los niveles: de núcleo del sistema (kernel), del propio sistema, las aplicaciones que se actualizan constantemente con el sistema de modo automático, etc, etc. Lo que le mantiene a salvo de la mayoría de las amenazas existentes.
Debería intervenir un descuido fortuito, o un usuario muy dejado para que sé dé el caso de una posible infección. ¡Pero como en este mundo nada es perfecto! Es bueno poder contar con un antivirus. Por otro lado yo personalmente no considero necesario un antivirus resiente, pero si es positivo contar con un poderoso y seguro escáner puntual que nos garantice la seguridad del sistema. La veteranía de este antivirus ClamAV nos otorga cierta seguridad.
Otro uso recomendable que le podemos dar, es el de asegurarnos poder minimizar las posibles transmisiones de virus a nuestras particiones con Windows o a nuestras unidades USB, discos externos y demás.
¡Bien vayamos por partes! Históricamente este antivirus que es muy versátil, se ha usado mediante líneas de comandos en la terminal. Pero para los más noveles se puede usar mediante su interfaz grafica ClamTK, dando como resultado un manejo completo y sencillo del mismo.
En este artículo veremos los procesos de instalación, análisis mediante el uso básico del antivirus sirviéndonos de comandos en la terminal. En el próximo artículo le dedicaremos un apartado a su uso mediante la interfaz gráfica. Aquí
APARTADOS:
-
-
Especificaciones.
-
Instalación sistemas Linux.
-
Actualización de la bases de datos
-
Comprobando el estatus del demonio de actualizaciones de firmas “freshclam.”
-
Escanear diferentes ficheros y directorios o unidades externas, memorias USB mediante la línea de comandos.
-
Progamar un escaneo automático diario.
-
EIRCAR, la prueba de efectividad de ClamAV.
-
1– ESPECIFICACIONES:
¿Exactamente que es ClamAV?
-
Según la Wikipedia.
“Clam Antivirus ( ClamAV ) es un conjunto de herramientas de software antivirus gratuito, multiplataforma y de código abierto capaz de detectar muchos tipos de software malicioso, incluidos los virus. Uno de sus usos principales es en servidores de correo como escáner de virus de correo electrónico del lado del servidor. La aplicación fue desarrollada para Unix y tiene versiones de terceros disponibles para AIX , BSD , HP-UX , Linux , macOS , OpenVMS , OSF (Tru64) y Solaris. A partir de la versión 0.97.5, ClamAV se compila y se ejecuta en Microsoft Windows . [1] [2] Tanto ClamAV como sus actualizaciones están disponibles de forma gratuita.”
¿Cuáles beneficios nos aporta el uso de ClamAV en Linux?
Este antivirus ha sido ideado específicamente para integrarse completamente en los sistemas GNUL/Linux es completamente Open Souce y está diseñado y mantenido la comunidad, la cual lo conserva siempre actualizado y optimizado convenientemente mediante código abierto, dicho aspecto avala que pueda ser revisado y verificado constantemente, garantizando de este modo la transparencia del software.
2– INSTALACIÓN EN LOS DIFERENTES SISTEMAS LINUX
En Ubuntu y sus derivados (Xubuntu, Kubuntu o Linux Mint, entre otros usaremos el siguiente comando:
$ sudo apt install clamav |
En Debian es conveniente hacerlo como usuario Root para que pueda acceder a todos los directorios nos servimos “apt-get o aptitude” indistintamente:
$ su # aptitude install clamav |
En Fedora, Red Hat o similar usaremos yum
$ su # yum install clamav |
Para Arch Linux y sus derivadas :
$ su # pacman -S clamav |
De este modo tendemos instalado fácilmente ClamAV, pero solamente en su versión de línea de comandos. Para su versión gráfica ClamTK consultar el siguiente artículo.
PASOS PRINCIPALES
-
3– LA ACTUALIZACIÓN DE LA BASE DE DATOS
Nota:
Como es lógico la primera vez que usemos el antivirus debemos actualizar su base de datos y firmas virales. Debido a que esta actualización depende de un servicio en segundo plano lo tenemos que detener o nos tirara error, para ello desde la terminal tipeamos lo siguiente:
* Para comprobar su estado del mismo mira más abajo.
$ sudo systemctl stop clamav-freshclam |
Procederemos a actualizar la base de datos con el siguiente comando:
$ sudo freshclam |
Veremos como en la terminal comienza la descarga de un largo listado de firmas, tened paciencia al ser la primera vez tarda más. Cuando termine no olvidéis volver a activar el servicio en segundo plano de la actualizaciones con el siguiente comando:
$ sudo systemctl start clamav-freshclam |
4– *COMPROBANDO EL ESTATUS DEL DEMONIO DE ACTUALIZACIONES DE FIRMAS “Freshclam”
Cuando necesitemos comprobar el estado del demonio de actualizaciones de ClamAV en distribuciones de Ubuntu y Debian principalmente podemos usar el siguiente comando:
# /etc/init.d/clamav-freshclam status |
Si está correctamente habitado debe de reflejar la siguiente información
* freshclam is running |
Si nos aparece inactivo lo podemos activar fácilmente con el siguiente comando:
# /etc/init.d/clamav-freshclam start |
*Nota:
Si queremos que se este ejecutando en segundo plano tanto el demonio de “ClamAV como de Freshclam” y actúe como un antivirus residente en nuestro PC y que no debamos de preocuparnos en analizar directorios, carpetas y demás. También tenemos la opción, pero eso aumentará el consumo de recursos. Si cuentas con un PC potente emplea el siguiente comando:
$ sudo /etc/init.d/clamav-daemon start
$ sudo /etc/init.d/clamav-freshclam start |
5– ESCANEAR DIFERENTES FICHEROS Y DIRECTORIOS MEDIANTE LA LÍNEA DE COMANDOS:
Usar este antivirus mediante la terminal es relativamente sencillo con algo de rutina nos haremos fácilmente con su uso yo os dejaré las posibilidades más cotidianas
A continuación os dejo algunos de los parámetros y opciones de los comandos más usuales :
“ —help”, nos muestra la ayuda de la herramienta. “-i”, muestra únicamente los ficheros infectados. “-r o –recursive”, escanea los ficheros y directorios en profundidad, incluidos los subdirectorios y su contenido. “–max-scansize”, este parámetro establece la cantidad máxima de datos que queremos revisar. El máximo en este caso es de 3500M. Hablamos de datos reales no de tamaño de ficheros. “–max-filesize”, establece el tamaño máximo de los ficheros que se quieren leer. Una vez más el límite es de 3500M |
Ejemplo de como escanear nuestra carpeta home con todo ello.
$ clamscan -i -r –max-scansize=35000M –max-filesize=3500M /home/tu usuario |
Paso a paso y posibles ejemplos:
Analizando todo el sistema
$ sudo clamscan -r / |
Recordar que la opción “-r” realiza un análisis exhaustivo pasando por todos sus subdirectorios dependiendo de la cantidad de información guardada en el disco sería el análisis más largo.
Analizando el directorio de home normalmente es donde se podría colar algo, ya que en él tenemos permisos de lectura y escritura de modo habitual en nuestra cuenta de usuario.
Por ello realizaremos un análisis a fondo de archivos y subdirectorios.
$ sudo clamscan -r /home |
Podemos hacer que solo nos muestre los archivos infectados si los hubiese.
$ sudo clamscan -r -i /home |
*Una consideración si usamos una aplicación de emulación de Windows como Wine o PlaYOnlinux debemos ser prudentes con los resultados pues sus configuraciones se guardan en nuestra carpeta home y puede dar falsos positivos. Preferiblemente excluir dichas carpetas del análisis.
Si queremos que nos avise con un sonido cada vez que encuentre algo usamos el siguiente parámetro:
$ sudo clamscan -r –bell /home |
También podemos analizar memorias USB o Discos Duros Externos para ello procederemos a identificarlos debidamente con el siguiente comando:
$ sudo lsblk -fm |
Nos dará como resultado la siguiente imagen donde localizaremos la unidad USB identificada como “sdc1 montada en /media/pedrocrespo”
En este caso si quiero escanear un dispositivo USB que está identificado como sdc1 el cual está montado en; /media/pedrocrespo/ Por ello para analizarlo se debe ejecutar el siguiente comando:
$ sudo clamscan -r -v /media/user/pedrocrespo/ |
O también podemos hacer referencia al directorio de /media directamente.
$ sudo clamscan -r -v /media/sdb1 |
Bueno como veis es relativamente sencillo pero os estaréis preguntando ¿cómo hacemos para eliminar lo que hasta ahora ha detectado? Sencillo añadimos el parámetro “–remove” al anterior comando.
Procederemos a escanear el directorio /home de modo recursivo eliminando los ficheros infectados sin notificación.
$ sudo clamscan -r –remove /home |
También podemos hacer que durante el escaneo se vayan mostrando solo los archivos infectados que se van removiendo . Para ello añadimos el parámetro “-i”
$ sudo clamscan -r -i –remove /home |
Analizando una partición del disco (como la de Windows u otra) o en una unidad externa como son un disco o llave USB.
$ sudo clamscan -r -v –remove /media/sda2 |
6–PROGRAMAR UN ESCANEO AUTOMÁTICO DIARIO
Veamos como podemos proceder a crear la rutina de un escaneo en este caso diario de manera programada, es bastante simple siguiendo unos breves pasos.
Generaremos un cron que se ejecutara diariamente para ellos necesitamos generar un archivo que le podemos llamar “daily_scan” y se alojara en “/etc/ “daily_scan”.
$ sudo vim /etc/cron. daily/ ‘daily_scan’ |
Agregaremos la siguiente línea al archivo creado:
/ usr / bin / clamscan -i -r / home >> /var/log/ClamAV/ ‘daily_scan’ .log |
Veamos los diferentes parámetros:
“/home/ ” es el directorio a escanear y “/var/log/ClamAV/daily_scan.log” es el archivo que recogerá los diferentes registros originados después del escaneo.
7– PRUEBA DE EFECTIVIDAD DE ClamAV
Veréis vamos a tratar de comprobar la efectividad de este antivirus sirviéndome de la llamada prueba EICAR (definición) la cual sencillamente se compone de un archivo que contiene unos parámetros para imitar el comportamiento de un virus de un modo neutral:
“El archivo de prueba consiste en copiar la siguiente cadena de caracteres en el bloc de notas y guardarlo en un archivo con la extensión .com:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Para que la prueba funcione, los programadores de antivirus deben establecer la cadena de EICAR como un virus verificado como cualquier otra firma.
Un antivirus con protección en tiempo real debería detectarlo inmediatamente. Un escaneo en busca de virus también debería detectarlo, incluso si está dentro de un archivo comprimido sin contraseña”.
La prueba en sí normalmente, abarca básicamente tres campos:
-
El contenido en un archivo.
-
El archivo comprimido.
-
Las URL inseguras.
Estas pruebas son las que tradicionalmente he usado personalmente para probar de manera segura el buen funcionamiento de los antivirus en Windows, así como su eficacia. A mayor detección de los tres modos, mayor garantía del antivirus. He de puntuar de que como no tengo habitualmente a ClamAV de modo residente me serviré de la posible detección en un archivo comprimido para darle mayor dificultad.
Descargamos el archivo desde el sitio web EIRCAR en formato Zip en sus dos versiones y colocaremos uno de ellos dentro de una carpeta llamada “virus tex” y otro directamente en el escritorio. Recordar que no es un virus solo una cadena de Caracteres Unicordes.
Ahora vamos a ejecutar en la terminal un análisis recursivo del directorio Desktop en cuestión, para ello usaremos el parámetro “-r” . También recordar que debemos tener actualizadas las firmas como lo vimos con anterioridad.
$ sudo clamscan -r /home/pedrocrespo/Desktop |
Como podéis comprobar en la siguiente imagen una vez finalizado nos dará dos claros positivos.
Procederemos a su eliminación con el parámetro “–infectes y –remove” al que habremos incorporado previamente “-r” para que busque de modo recursivo en todos los subdirectorios y archivos incluidos en el interior de la carpeta llamada virus tex.
$ sudo clamscan -r –infected –remove –recursive /home/pedrocrespo/Desktop |
Como podemos apreciar en la siguiente imagen quedo limpio nuestro PC. Podemos comprobar que a pesar del tiempo transcurrido aún en la actualidad el antivirus ClamAV sigue siendo una herramienta muy eficaz y solida. En el siguiente articulo veremos como usarlo cómodamente mediante su interfaz grafica.
Podéis consultar como usar el antivirus ClamAV desde su interfaz gráfica en el siguiente enlace
Fuentes consultadas: