Linux no es susceptible a los virus de la misma forma que lo son plataformas Dos/Windows o Mac. En UNIX, los controles de seguridad son una parte fundamental del sistema operativo. Por ejemplo, a los usuarios no se les permite escribir de forma promiscua en cualquier dirección de memoria, algo que Dos/Windows y Mac sí permiten.
Para ser justos, existen virus para UNIX. Sin embargo, el único que he visto para Linux se llamaba "bliss", tenía una opción de desinstalación ("--uninstall-please, --desinstalar-porfavor") y debía ejecutarse como root para que fuese efectivo. O citando una vieja frase para UNIX "si no sabes lo que hace un ejecutable, no lo ejecutes como root". Los gusanos perduran más en el mundo UNIX, siendo la primera incidencia la causada por el gusano Internet de Morris, que explotaba una vulnerabilidad en el sendmail. Los gusanos Linux de la actualidad explotan versiones de imapd, sendmail, WU-FTPD y otros demonios. La forma más sencilla es mantenerlos actualizados y no hacer accesibles los demonios a menos que sea necesario. Estos ataques pueden tener bastante éxito, especialmente si encuentran una red de hosts que no está actualizada, pero por lo general su efectividad se desvanece a medida que la gente actualiza sus demonios. En general, no me preocuparía específicamente de estos dos asuntos, y definitivamente no hay necesidad de comprar un software antivirus para Linux.
Los gusanos gozan de una larga y orgullosa tradición en el mundo UNIX, explotando agujeros de seguridad conocidos (generalmente, muy pocos explotan agujeros nuevos/desconocidos) y replicándose pueden exprimir una red. En la actualidad existen diferentes gusanos que están abriéndose paso en máquinas Linux, la mayoría explotando software Bind 4.x e IMAP viejo. Vencerlos es sencillo, como lo es mantener actualizado el software.
Los caballos de Troya también son populares. Hace poco alguien entró en ftp.win.tue.nl y modificó el paquete TCP_WRAPPERS (entre otros) de forma que enviase contraseñas a una cuenta anónima. Se detectó cuando alguien comprobó la firma PGP del paquete y encontró que no estaba autorizada. ¿Cuál es la moraleja? Utiliza software proveniente de sitios fiables, y comprueba la firma PGP.
Desinfección de virus / gusanos / troyanos
Haz copias de seguridad de tus datos, formatea y reinstala el sistema desde medios conocidos. Una vez que el atacante consigue root en un sistema Linux, puede hacer literalmente cualquier cosa, desde comprometer el gcc/egcs hasta cargar interesantes módulos del kernel al arrancar. No confíes en el software no fiable como root. Comprueba las firmas PGP de los ficheros que descargas, etc. Un poco de prevención bloqueará la diseminación de virus, gusanos y troyanos bajo Linux.
La forma más fácil de tratar con virus y similares es utilizar herramientas de integridad de sistema como tripwire, L5 y Gog&Magog, con las cuales se podrá encontrar fácilmente qué ficheros han sido comprometidos y restaurar/reemplazar/actualizarlos. Existen muchos escáners antivirus disponibles para Linux (pero por lo general no existen virus para Linux).
Escáners de virus para Linux
Como ya se ha dicho anteriormente, los virus no son un problema real en el mundo Linux, sin embargo los escáners de virus que se ejecutan en Linux pueden ser útiles. Filtrar el correo u otras formas de contenido en las puertas de enlace de la red (todo el mundo tiene máquinas Windows) puede proporcionar una línea extra de defensa, puesto que las plataformas que proporcionan defensa contra la amenaza no se pueden ver comprometidas por esa amenaza (ojalá). Quizás también se quiera escanear ficheros almacenados en servidores de ficheros de Linux a los que se accede desde clientes Windows. Por suerte existen bastantes buenos antivirus disponibles para Linux.
Sophos Antivirus
El antivirus Sophos es un escáner de virus comercial que se ejecuta en una variedad de plataformas Windows y UNIX. Es gratuito para uso personal, y es relativamente barato para uso comercial. Se puede conseguir en: http://www.sophos.com/
AntiVir
AntiVir es otro escáner comercial que se ejecuta en una variedad de plataformas Windows y Linux. Se puede conseguir de: http://www.hbedv.com/
Escaneo de Correo Electrónico
AMaViS
El AMaViS utiliza software de terceros (como McAfee) para escanear el correo entrante en busca de virus. Se puede conseguir en: http://aachalon.de/AMaViS/. Asegúrate de descargar la última versión, las anteriores han tenido compromisos de root. A fecha de 19 de Julio, la última es: http://aachalon.de/AMaViS/amavis-0.2.0-pre5.tar.gz
Sendmail
Utilizar el AMaViS con el sendmail es relativamente simple, tiene un programa llamado "scanmail" que actúa como reemplazo del procmail (generalmente el programa que maneja el reparto local del correo). Cuando llega un correo, en lugar de utilizar el procmail para repartirlo, el Sendmail llama al scanmail, el cual descomprime y descodifica cualquier attachment, y después utiliza un escáner de virus (de tu elección) para escanear los attachments. Si no se encuentra un virus, el correo se reparte como es habitual. Sin embargo, si se encuentra un virus, se envía un correo al emisor, informándole de que han enviado un virus, y se envía un correo al receptor del correo, informándole acerca de la persona que le ha enviado un virus. Las instrucciones se encuentran en: http://satan.oih.rwth-aachen.de/AMaViS/amavis.html
Postfix
Puesto que Postfix puede hacer uso del procmail para repartir correo de forma local, en teoría debería funcionar sin ningún problema. En la práctica necesita que se modifiquen algunas cosas para que funcione correctamente. Para habilitarlo, reemplazar la línea de main.cf:
mailbox_command = /usr/bin/procmail
por la línea:
mailbox_command = /usr/sbin/scanmails
y reiniciar el postfix. Para que funcione la advertencia local (se envía una advertencia al receptor del mensaje) el nombre de host de la máquina (sundog, servidorcorreo01, etc) tiene que aparecer listado en "mydestino" en main.cf, o si no no se reparte la advertencia. Se debería (y por lo general lo hacen la mayoría de los sitios) redireccionar el correo del root a una cuenta de usuario, utilizando el fichero de alias, o si no las advertencias no le llegarán al root de forma correcta. Por defecto, el correo de "virusalert" también se redirige a root, también habría que redirigir este correo a una cuenta normal de usuario.
Copyright © 1999, Kurt Seifried, José Antonio Revilla
Todos los derechos reservados.