Cómo detectar Malware en tu sitio web (Servidores Linux Ubuntu, Debian)



Al igual que tu computadora, tu sitio web o servidor puede llegar a infectarse con virus o malware. Malware es como se denomina a una gran variedad de programas dañinos como troyanos, gusanos, spammer bots, etc.

Si tienes la mala suerte de estar infectado con algo así, Google podría bloquear el acceso a todas las personas que te visiten a través de una búsqueda en google. Otra gran desventaja es que utilizan tus recursos, haciendo que tu sitio web sea más lento, pueden robar tu tráfico y dañar tu reputación.

En pocas palabras, si tu sitio web está infectado con malware, entonces tú tienes que darte cuenta lo más pronto posible y reparar tu sitio web, lo más pronto posible. Afortunadamente, si tienes tu sitio web en un VPS, puedes instalar un programa que se encargue de revisar tu sitio y remover los archivos infectados automáticamente.

Recuerda que es muy importante que tengas copias de seguridad, así podrás regresar cualquier archivo dañado a su versión sana. Si aún no estás haciendo copias de seguridad, te recomiendo leer este artículo en donde aprenderás a hacer tus copias de seguridad automáticamente.

Primero vamos a descargar e instalar Linux Malware Detect, ejecutando este comando:

cd /tmp/; curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz

Ahora descomprimimos el archivo:

tar -zxvf maldetect-current.tar.gz

Luego entramos a la carpeta que recién descomprimimos, no olvides cambiar el nombre maldetect-1.6.2, según la versión que descargaste, si no sabes cuál es, puedes escribir el comando ls -l

cd maldetect-1.6.2/

Ahora ejecutamos el instalador con este comando:

bash install.sh

Ya está instalado, pero debemos cambiar algunas configuraciones, para esto abrimos el archivo de configuración de maldet, usando este comando:

vi /usr/local/maldetect/conf.maldet

Vamos a cambiar algunas opciones, busca dentro del archivo cada una de estas líneas y cambia los valores según como se muestra aquí: (los signos # representan líneas de comentarios para ti.)

# Habilita alertas por email
email_alert="1"
# Pon aqui tu email, para recibir alertas
email_addr="[email protected]"
# Permite usar ClamAV
scan_clamscan="1"
# Permite escanear archivos pertenecientes al usuario root o administrador.
scan_ignore_root="0"
# Mover archivos infectados a cuarentena
quarantine_hits="1"
# Limpiar archivos en cuarentena
quarantine_clean="1"

Ahora vamos a instalar también clamav para mejorar la detección de malware.

sudo apt-get -y install clamav clamav-daemon clamdscan

Ahora ya está listo, puedes escanear tu sitio web y detectar si tienes malware. ¿Pero cómo estar seguros de si funciona?. Vamos a tomar un riesgo controlado, si tienes un archivo infectado y no lo ejecutas, entonces no hay problema, así que vamos a crear un archivo infectado, crea un archivo en el directorio /var/www y coloca este código:

<?php eval(base64_decode(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.UjBaWFUyNWFXRlp0VFhoWlZFcExVMFphV0ZwR1JsWk5SWEF3VjFkd1QxRXlTa2hUYmtKaFRXNVNjRll3WkRSaVZtdzJVMnBTYTJKSGVEQlVNVkpoVkZaRmQxSnVWbUZUUjNoeFdUQldjMU5GT1ZsaVJYQlRUVlZ3TTFZeWVFOWliVXB6WTBac1ZHSnRlSEJVVkVKeVRXeE9WbFJyU21saE0yaDNWbGMxVTJKR1duRmlSRnBhWVRKTk1WbFdaRXBsYlVsNlVXeENiRlpWV1hsV1JWSktaVWRHU0ZKWWJGZFdNbEp3V1d4YVdtVnNUbFphUjBacS5VakJ3U1Zac1ZqQlNSbkExWVROQ1VHUjVhM0JQZHlrcE93KSk7)); ?>

Ahora, para buscar malware en tu vps, ejecuta este comando:

maldet -a /var/www

Si todo funciona vas a recibir un correo electrónico informándote de que se detectó malware en tu vps, aquí hay una imagen de como se verá el correo.

Detectar malware en vps linux
detectar malware en tu servidor

En la primera flecha está el archivo en el que se encontró el malware, y en la segunda flecha está la ubicación a la cual se movió el archivo infectado. Si el archivo era importante para tu aplicación o sitio web, lo mejor es que tomes una copia que tengas y la pongas en la ubicación de la cual fue removido.

Y como todo antivirus, esta aplicación también necesita ser actualizado constantemente, para ello debes correr estos dos comandos, el primero es para actualizar la aplicación y el segundo es para actualizar las definiciones o librerías de malware.

maldet -d
maldet -u

Ahora quizás está pensando si debes estar siempre pendiente de actualizar el programa y estar escaneando tu vps en búsqueda de malware. Esto no es necesario, puedes programar un Cron de Linux para ejecutar esos comandos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *