Antivirus Perfil Servidor
De Wiki Linkat
| Línia 7: | Línia 7: | ||
Segons la [http://ca.wikipedia.org/wiki/Virus_inform%C3%A0tic wikipedia] un virus informàtic és: | Segons la [http://ca.wikipedia.org/wiki/Virus_inform%C3%A0tic wikipedia] un virus informàtic és: | ||
| - | " | + | "... un programa que es copia automàticament per alterar el funcionament normal de l'ordinador, sense el permís o el coneixement de l'usuari. Encara que opularment s'inclou el "malware" dins dels virus, en el sentit estricte d'aquesta ciència els virus són programes que es repliquen i s'executen per si mateixos. Els virus, habitualment, reemplacen arxius executables per uns altres, infectats amb el codi del virus. Els virus poden destruir, de manera intencionada, les dades emmagatzemades en un ordinador, encara que també n'existeixen altres més benignes, que només es caracteritzen pel fet de ser molestos.'' |
| - | ''Els virus informàtics tenen, bàsicament, la funció de propagar-se, replicant-se, però alguns contenen a més una càrrega maligna (payload) amb diferents objectius, des d'una simple broma fins a realitzar danys importants en els sistemes, o blocar les xarxes informàtiques generant trànsit inútil. El funcionament d'un virus informàtic és conceptualment simple. S'executa un programa que està infectat, en la majoria de les ocasions, per desconeixement de l'usuari. El codi del virus queda resident (allotjat) a la memòria RAM de la computadora, encara que el programa que el contenia hagi acabat d'executar-se. El virus pren llavors el control dels serveis bàsics del sistema operatiu i infectant posteriorment arxius executables que siguin cridats per a la seva execució. Finalment s'afegeix el codi del virus al del programa infectat i es grava al disc, amb la qual cosa es completa el procés de replicació. | + | ''Els virus informàtics tenen, bàsicament, la funció de propagar-se, replicant-se, però alguns contenen a més una càrrega maligna (payload) amb diferents objectius, des d'una simple broma fins a realitzar danys importants en els sistemes, o blocar les xarxes informàtiques generant trànsit inútil. El funcionament d'un virus informàtic és conceptualment simple. S'executa un programa que està infectat, en la majoria de les ocasions, per desconeixement de l'usuari. El codi del virus queda resident (allotjat) a la memòria RAM de la computadora, encara que el programa que el contenia hagi acabat d'executar-se. El virus pren llavors el control dels serveis bàsics del sistema operatiu i infectant posteriorment arxius executables que siguin cridats per a la seva execució. Finalment s'afegeix el codi del virus al del programa infectat i es grava al disc, amb la qual cosa es completa el procés de replicació." |
<br> | <br> | ||
| - | <br> | + | <br> |
== Malware a GNU/Linux: == | == Malware a GNU/Linux: == | ||
Revisió de 14:56, 12 juny 2012
Contingut |
Virus informàtics i entorns GNU/Linux:
Definició de virus informàtic:
Segons la wikipedia un virus informàtic és:
"... un programa que es copia automàticament per alterar el funcionament normal de l'ordinador, sense el permís o el coneixement de l'usuari. Encara que opularment s'inclou el "malware" dins dels virus, en el sentit estricte d'aquesta ciència els virus són programes que es repliquen i s'executen per si mateixos. Els virus, habitualment, reemplacen arxius executables per uns altres, infectats amb el codi del virus. Els virus poden destruir, de manera intencionada, les dades emmagatzemades en un ordinador, encara que també n'existeixen altres més benignes, que només es caracteritzen pel fet de ser molestos.
Els virus informàtics tenen, bàsicament, la funció de propagar-se, replicant-se, però alguns contenen a més una càrrega maligna (payload) amb diferents objectius, des d'una simple broma fins a realitzar danys importants en els sistemes, o blocar les xarxes informàtiques generant trànsit inútil. El funcionament d'un virus informàtic és conceptualment simple. S'executa un programa que està infectat, en la majoria de les ocasions, per desconeixement de l'usuari. El codi del virus queda resident (allotjat) a la memòria RAM de la computadora, encara que el programa que el contenia hagi acabat d'executar-se. El virus pren llavors el control dels serveis bàsics del sistema operatiu i infectant posteriorment arxius executables que siguin cridats per a la seva execució. Finalment s'afegeix el codi del virus al del programa infectat i es grava al disc, amb la qual cosa es completa el procés de replicació."
Malware a GNU/Linux:
Tal i com es recull a la wikipedia, els sistems GNU/Linux estan protegits contra els virus informàtics:
"El sistema operatiu GNU/Linux, Unix i altres derivats generalment són qualificats com que estan protegits contra els virus informàtics. Actualment, no es coneix l'existència de cap amenaça de l'anomenat programari maliciós, malware, en Linux que s'hagi expandit a un nivell si més no similar a les amenaces existents en el sistema operatiu Microsoft Windows.
Això s'atribuïx en gran part al fet que el malware no aconsegueix els permisos per a realitzar activitats nocives a dins del sistema i a les ràpides actualitzacions davant de vulnerabilitats que s'eliminen diàriament en Linux, pròpies del model de programari lliure.
Alguns factors addicionals per al reforç de la seguretat en Linux, són la major cultura informàtica difosa entre els usuaris de sistemes GNU/Linux i la manca d'incentius per a un programador a l'hora d'escriure malware per a aquest sistema, a causa de la seua relativament baixa quota de mercat (90% Windows vs 1% Linux). A més, un sistema amb Linux instal·lat, en general, no s'assembla a un altre: diferents versions del nucli Linux, diferent programari instal·lat, opcions de configuració i característiques de seguretat diferents, etcètera. La qual cosa dificulta en gran mesura la labor d'un atacant. La quantitat de programari maliciós disponible a GNU/Linux, incloent virus, trojans i altre programari escrit específicament per a GNU/Linux s'ha incrementat en els últims anys, duplicant-se durant 2005 a causa de l'explosió del sistema operatiu en entorns d'usuari final i ingrés al mercat de les computadores d'escriptori."
Per saber-ne més sobre virus i entorns GNU/Linux
Linux y virus: no sólo cuestión de popularidad
Virus en GNU/Linux: ¿Realidad o Mito?
Mitos y realidades Linux y los virus
Antivius en GNU/Linux: ClamAV
Tot i que els sistemes GNU/Linux són robustos en front els virus informàtics, les distribucions GNU/Linux incorporen l'antivius ClamAV. ClamAV és un antivirus que té llicència PL per a GNU/Linux que utilitza la base de dades d'OpenAntivirus. ClamAV està dissenyat per detectar Troians, virus, malware, etc, i s'utilitza molt en pasarel·les de correu electrònic.
Configuració de l'antivirus al servidor de centre
Configuració de l’antivirus clamav en servidors Linkat 3 i 4
1- Recomanable actualitzar el clamav amb el repositori evergreen (Linkat 3 és 11.1 i Linkat 4 és 11.2):
Evergreen 11.1:
http://download-linkat.xtec.cat/mirror/evergreen/11.1/standard/
Evergreen 11.2:
http://download-linkat.xtec.cat/mirror/evergreen/11.2/standard/
2- Cal instal·lar els paquets: clamav i clamavdb (els paquets més actualitzats es troben a Evergreen). Un cop instal·lats, cal executar freshclam manualment perquè es descarreguin les definicions de virus més actuals. (Nota: la versió de l'antivirus que hi ha a evergreen és la 0.97.2)
3- Cal instal·lar el paquet: dazuko i dazuko-kmp-{default, pae, xen,.....} que correspongui amb el kernel instal·lat (amb uname -a se sap)
4- Cal carregar-lo en memòria: /etc/sysconfig/kernel -> MODULES_LOADED_ON_BOOT="dazuko"
5- No cal modificar els permisos del mòdul dazuko ja que el daemon clamdscan funcionarà sota l’usuari root (línia User root del fitxer /etc/clamd.conf)
6- Modificar el fitxer: /etc/clamd.conf
Nota: el símbol -> representa els canvis que s’han realitzat
LogFile /tmp/clamd.log -> LogFile /var/log/clamd.log User root ExtendedDetectionInfo yes TemporaryDirectory /var/tmp -> TemporaryDirectory /tmp MaxConnectionQueueLength 30 MaxThreads 20 LeaveTemporaryFiles yes DetectPUA yes ClamukoScanOnAccess yes ClamukoScanOnOpen yes ClamukoScanOnClose yes ClamukoScanOnExec yes ClamukoScannerCount 10 ClamukoIncludePath /srv/exports/T ClamukoIncludePath /srv/exports/P DetectBrokenExecutables yes OLE2BlockMacros yes HeuristicScanPrecedence yes ClamukoScannerCount 10 ClamukoMaxFileSize 10M #VirusEvent /usr/local/bin/send_sms 123456789 "VIRUS ALERT: %v" VirusEvent /usr/local/bin/elimina_virus.sh&
L’script elimina_virus.sh (executable amb permisos 755) conté:
#!/bin/bash
FITXER=$(tail -n 1 /var/log/clamd.log | awk -F ': ' '{print $2}')
#
# L'script definitiu, en compes d'eliminar els fitxers contaminats els mourà a una carpeta independent.
#
rm $FITXER
echo "Eliminat $FITXER" >> /var/log/messages
NOTA: Info extreta de:
http://ubuntuforums.org/showthread.php?t=52385
Sobre l’arxiu freshclam.conf (actualitza les bases de dades de l’antivirus):
LogFacility LOG_LOCAL6
Checks 24 (1 cada hora)
DetectionStatsCountry ES
SafeBrowsing yes
DatabaseMirror db.es.clamav.net
Nota: La DatabaseMirror es de la forma: db.XX.clamav.net (on XX és el codi de país: ES per al cas espanyol).
Segon el fitxer de configuració: SafeBrowsing:
- This option enables support for Google Safe Browsing. When activated for
- the first time, freshclam will download a new database file (safebrowsing.cvd)
- which will be automatically loaded by clamd and clamscan during the next
- reload, provided that the heuristic phishing detection is turned on. This
- database includes information about websites that may be phishing sites or
- possible sources of malware. When using this option, it's mandatory to run
- freshclam at least every 30 minutes.
- Freshclam uses the ClamAV's mirror infrastructure to distribute the
- database and its updates but all the contents are provided under Google's
- terms of use. See http://code.google.com/support/bin/answer.py?answer=70015
- and http://safebrowsing.clamav.net for more information.
NOTA: Important!!! Cal assegurar-se que clamav i freshclam s'inicïin en el moment d'arrencar el sistema (chkconfig o a través del YaST).
