Per antivirus para Linux es un software antivirus que detecta y elimina toda clase de virus, archivos infectados en Visual Basic Scripts, Java Scripts, HTML, etc. archivos de extensiones .VBS, .EXE, .COM, .BAT, .SHS, .HTA, .HTT, .PIF, .SCR, JPG, CPL, de doble extensión, archivos ocultos, etc., además de archivos Spyware (software espía) y Adware (publicidad no deseada).

Per antivirus para Linux proporciona integración a Sendmail, que intercepta los mensajes de correo y los revisa, eliminando los virus en los archivos adjuntos, si es que los hubiere, evitando que los archivos infectados se propaguen a las estaciones de trabajo.

Se puede descargar la versión de Per antivirus para Linux desde la página oficial y para instalarlo hay que seguir las siguientes instrucciones:

• Descargar el archivo pereva-930-i386.tar.gz en una determinada carpeta del Servidor Linux.
• Descomprimir ejecutando:
• # gzip -d pereva-930-i386.tar.gz
• # tar -xf pereva-930-i386.tar
• Ejecutar el siguiente comando en la carpeta en la cual se desempaquetó el archivo:
• ./install-per

Aunque como siempre los creadores de virus y malware centran sus objetivos en vulnerabilidades de Windows, tener un antivirus linux no está de más.

La vulnerabilidad se hizo pública el dia 8 de febrero. Según el registro de cambios changelog del kernel de Linux, fue solucionado el error el mismo dia y una nueva version 2.6.24.2, fue liberada el dia 11 de febrero.

Las principales distribuciones de Linux comenzaron a desarrollar parches de seguridad para corregir la vulnerabilidad el mismo dia 11 cuando múltiples sitios de internet se hicieron eco de la noticia. ¿Cómo de rápido actuaron los equipos de seguridad de las distribuciones Linux? Necesitaron tiempo para comprender el fallo de seguridad, para corregirlo y realizar tests de prueba antes de dar el trabajo por finalizado.

Para cada distribución esto depende de la disponibilidad de los expertos en seguridad, de la version del kernel, de la coordinación entre equipos y el nivel de coordinación. Al margen de considerar todos estos factores, para el usuario final, cuanto más rápido, mejor.

Un aviso de seguridad suele ser la mejor forma de poner a todos los usuarios de Linux en alerta para que se corriga la vulnerabilidad lo antes posible. Aunque muchas personas suelen enterarse por email, feeds RSS, notas de prensa o conversaciones con otros linuxeros.

La pasada semana, un gran número de avisos de seguridad para corregir el exploit vmsplice() fueron publicados por las principales distribuciones; Debian GNU/Linux fue el primero en tener su aviso de seguridad con los pasos para corregir la vulnerabilidad, uno o dos dias más tarde, el resto de distribuciones habian hecho el trabajo. Gentoo Linux no publicó un aviso de seguridad para el kernel de Linux pero si que corrigió la vulnerabilidad el dia 13 de febrero.

A continuación se muestra un cuadro elaborado por Distrowatch con los tiempos de cada distribución al resolver los errores de seguridad del kernel de Linux:

Aunque existen diferencias desde Debian, con la mayor celeridad en su equipo de seguridad, la mayor parte de las distribuciones fueron rápidas y resolvieron muy bien la incidencia.

La explicación está muy detallada y es especialmente técnica en la disección del crackeo, dificil de entender para quienes no estén muy familiarizados con entornos Linux, sean aficionados al hacking o profesionales de seguridad informática. Lo que indica el autor es que decidió examinar un servidor Linux de un compañero que le comentó que tenia un “comportamiento extraño”, efectivamente habia sido atacado y el autor pudo comprobarlo observando los comandos utilizados a través de la ruta “/var/log/”, en la raiz de “.bash_history”.

Al parecer el atacante utilizó inicialmente un backdoor, un método que usan los distribuidores de malware para evitar la autentificación normal al conectarse remotamente a otro ordenador y mantenerse ocultos en un acceso seguro. Posteriormente usó un bot de IRC, llamado psotnic programado en C++.

Lo mejor es consultar directamente la fuente, un excelente artículo para personas que quieran iniciarse en Linux y en el hacking, con buenos propósitos, se entiende. Según deja a entender el autor, resulta que el cracker podria haber cometido muchos errores dejando tanto rastro que se piensa por su direccion IP y por su nick que podria ser un estudiante de un instituto en Polonia. Los errores cometidos por el cracker fueron:

1. No deshacerse de la información en la raiz .bash_history.
2. Borrar lo contenido en los directorios “/var/log/*”, incluyendo directorios con programas que impedian el inicio de Apache correctamente, una forma de alertar al administrador.
3. Cambió la contraseña de acceso root, otra forma de alertar a un sysadmin.
4. No utilizar una contraseña para proteger su canal IRC lleno de otros zombies