Protege tu Sistema Linux. Cómo detectar procesos sospechosos y malware en Linux

Linux Security | Malware Detection | Tools

Cómo detectar procesos sospechosos y malware en Linux

Monitorea tu sistema Linux. Identifica procesos inusuales, conexiones sospechosas, rootkits. Herramientas: htop, ClamAV, rkhunter, Wireshark. Buenas prácticas de seguridad.

¿Es necesario preocuparse por malware en Linux?


Durante años se repitió la idea de que Linux es inmune a virus. Aunque Linux sigue siendo uno de los sistemas operativos más seguros disponibles, la realidad es que ningún sistema está completamente libre de amenazas. El malware para Linux existe, los ataques existen y procesos extraños consumiendo recursos pueden aparecer sin que lo notes.

La buena noticia: La mayoría de usuarios domésticos nunca tendrán problemas graves. Aprender a revisar periódicamente tu sistema es una buena práctica de seguridad que puede ayudarte a detectar errores, configuraciones incorrectas, o incluso amenazas reales.

Herramientas disponibles: Linux incorpora excelentes herramientas gratuitas para monitorear lo que ocurre en tu sistema y detectar comportamientos sospechosos. Esta guía te enseña a usarlas.

Lo importante: No se trata de vivir preocupado. Se trata de conocer las herramientas que Linux pone a tu disposición para reaccionar rápidamente ante comportamientos inusuales.

Herramientas recomendadas para detectar amenazas

htop / btop

Monitor interactivo de procesos. Identifica CPU/memoria alta sospechosa.

ClamAV

Antivirus open source. Escanea archivos en busca de malware conocido.

rkhunter

Detección de rootkits. Busca indicadores de compromiso en el sistema.

systemctl

Ver servicios que arrancan automáticamente. Detecta autostart sospechoso.

ss / netstat

Analiza conexiones de red activas. Identifica tráfico sospechoso.

Wireshark

Análisis profundo de tráfico de red. Captura y inspecciona paquetes.

crontab / cron.d

Revisa tareas programadas. Algunos malwares se ejecutan periódicamente.

debsums

Verifica integridad de paquetes. Detecta cambios en archivos del sistema.

1. Revisar procesos activos con htop

Uno de los primeros lugares donde buscar comportamientos extraños es la lista de procesos activos.

Instalación

# Debian / Ubuntu / Linux Mint sudo apt install htop # Fedora sudo dnf install htop # Arch / Manjaro sudo pacman -S htop

Usar htop

htop

Qué observar

  • CPU alta constantemente: Procesos consumiendo CPU sin parar = sospechoso
  • Memoria excesiva: RAM consumida sin justificación
  • Nombres extraños: Nombres oscuros, ofuscados, o que no reconoces
  • Permisos elevados: Procesos con root/sudo sin razón aparente
  • Padres desconocidos: Procesos iniciados por daemons extraños

Alternativa moderna: btop

sudo apt install btop btop

2. Ver servicios que arrancan automáticamente

Algunos programas maliciosos intentan ejecutarse automáticamente al iniciar sesión. Revisa los servicios habilitados.

Servicios del sistema

systemctl list-unit-files --state=enabled

Servicios del usuario

systemctl --user list-unit-files --state=enabled

Si encuentras algo sospechoso

  • Investigá antes de eliminarlo. Google el nombre del servicio.
  • Si no lo reconoces y no lo instalaste: es sospechoso.
  • Deshabilita con: sudo systemctl disable nombre-servicio
Cuidado: No elimines servicios del sistema que no reconoces sin investigar primero. Algunos servicios legítimos tienen nombres que suenan raros.

3. Revisar conexiones de red activas

Un proceso sospechoso suele comunicarse con servidores externos. Inspecciona las conexiones abiertas.

Ver puertos abiertos y conexiones

ss -tulpn

Qué muestra

  • Puertos escuchando en tu sistema
  • Conexiones activas (locales y remotas)
  • Aplicaciones asociadas a cada conexión

Analizar una dirección IP sospechosa

# Usa whois para investigar una IP whois IP_SOSPECHOSA # O consulta geolocalización curl ipinfo.io/IP_SOSPECHOSA

Si detectas conexiones persistentes hacia direcciones desconocidas, investiga.

4. Analizar consumo de recursos inusual

Muchos usuarios descubren problemas porque el equipo comienza a comportarse extraño.

Señales de alerta

  • Ventiladores funcionando constantemente (CPU trabajando sin parar)
  • CPU al 100% sin aplicaciones visibles abiertas
  • Aumento del consumo energético notorio
  • Rendimiento general degradado
  • Lentitud anómala sin causa obvia

Herramientas para monitorear

# Monitor tradicional top # Monitor moderno y visual btop

5. Buscar rootkits con rkhunter

Rootkit Hunter es una herramienta clásica para buscar indicadores de compromiso en sistemas Linux.

Instalación

# Debian / Ubuntu / Linux Mint sudo apt install rkhunter # Fedora sudo dnf install rkhunter # Arch Linux sudo pacman -S rkhunter

Actualizar firmas de rootkits conocidos

sudo rkhunter --update

Ejecutar análisis completo

sudo rkhunter --check # Análisis sin parar en alertas sudo rkhunter --check --skip-keypress

Qué busca

  • Rootkits conocidos y malware
  • Archivos del sistema modificados
  • Procesos ocultos
  • Puertos ocultos escuchando

6. Escanear con ClamAV

ClamAV es probablemente el antivirus más conocido del ecosistema Linux. Gratuito y open source.

Instalación

# Debian / Ubuntu / Linux Mint sudo apt install clamav clamav-daemon # Fedora sudo dnf install clamav # Arch / Manjaro sudo pacman -S clamav

Actualizar base de datos de virus

sudo freshclam # Iniciar daemon de ClamAV sudo systemctl start clamav-daemon

Escanear archivos

# Escanear un directorio recursivamente clamscan -r /home # Escanear todo el sistema (lento) sudo clamscan -r / # Mostrar solo positivos clamscan -r --infected /home

7. Revisar tareas programadas (cron)

Algunos programas maliciosos utilizan tareas programadas para ejecutarse periódicamente.

Tareas del usuario

crontab -l

Tareas del sistema

sudo crontab -l

Directorios de tareas del sistema

ls -la /etc/cron.d/ ls -la /etc/cron.daily/ ls -la /etc/cron.weekly/ cat /etc/cron.d/* | grep -v ^#

Si encuentras tareas que no reconoces, elimínalas o comenta la línea.

8. Verificar integridad de paquetes instalados

En sistemas basados en Debian existe una herramienta poco conocida: debsums.

Instalación

sudo apt install debsums

Comprobar archivos modificados

# Ver solo cambios encontrados sudo debsums -s # Ver todos los cambios detalladamente sudo debsums

Qué detecta

Cambios inesperados en archivos pertenecientes a paquetes oficiales. Si un malware modificó archivos del sistema, debsums lo encontrará.

Guía paso a paso: escaneo completo del sistema

Paso 1: Instalar todas las herramientas

# Debian / Ubuntu / Linux Mint sudo apt install htop btop clamav clamav-daemon rkhunter wireshark

Paso 2: Revisar procesos (5 minutos)

htop # Presiona F5 para ver árbol de procesos. Busca nombres raros.

Paso 3: Revisar servicios (2 minutos)

systemctl list-unit-files --state=enabled | grep -v enabled

Paso 4: Revisar conexiones (3 minutos)

ss -tulpn

Paso 5: Escanear con ClamAV (5-15 minutos)

sudo freshclam clamscan -r --infected ~/

Paso 6: Buscar rootkits (10-30 minutos)

sudo rkhunter --update sudo rkhunter --check --skip-keypress

Paso 7: Verificar integridad (2 minutos)

sudo debsums -s
Tiempo total: 30-60 minutos para un escaneo completo. Es recomendable hacerlo mensualmente o cuando notes algo inusual.

Mejores prácticas para mantener Linux seguro

1. Mantén actualizado el sistema

sudo apt update && sudo apt upgrade # Hazlo regularmente: cada semana o cada quince días

2. No ejecutes todo con sudo

Solo usa sudo cuando realmente lo necesites. Un usuario sin privilegios causa menos daño si es comprometido.

3. Usa un firewall

sudo apt install ufw sudo ufw enable

4. Revisa los logs regularmente

sudo journalctl -xe # Ver últimos errores y eventos

5. Ten copias de seguridad (snapshots)

sudo apt install timeshift

6. No abras ejecutables de fuentes desconocidas

Especialmente .deb, .run, o scripts de internet. Siempre verifica antes.

7. Usa ssh-keys en lugar de passwords

Si accedes remotamente a tu sistema, usa claves SSH en lugar de contraseñas.

Referencias oficiales

Apoya el canal GENBYTE

Suscríbete al canal de YouTube Suscríbete a la newsletter semanal Invítame a un Ko-fi genbyte@proton.me

Sígueme en mis redes sociales

Comentarios

Publicar un comentario

Comenta...

Entradas populares de este blog

NAS SYNOLOGY DSM 7.1 en VMware ESXI - Guía instalación y configuración Synology DSM 7.1 en VMWARE

Imagen
"NAS Synology en VMware - Guía instalación y configuración Synology DSM 7.1" Descarga los ficheros desde este enlace: https://mega.nz/file/ZTwnGaKQ#HreeTekfsAFJhCMQmoGKG4AooZXE8_3xPcTrgRgwV_U Contraseña: bilaljebari Vídeo del proceso explicado paso a paso. ⏭📼 https://www.youtube.com/@genbyte?sub_confirmation=1 👍❤️🔔 Apoya mi canal. Suscríbete y activa la campana para recibir los últimos vídeos. Otros vídeos Instalación VMWare ESXI https://www.youtube.com/watch?v=8VXg78ayPAQ Instalación NAS Synology en PC/Servidor https://www.youtube.com/watch?v=CBGxjHVyBq8
Leer más

Solución al error: «user is not in the sudoers file» en Debian

Imagen
  Solución al error: «user is not in the sudoers file» en Debian Acabas de instalar Debian, abres la terminal para actualizar el sistema con: sudo apt update y, de repente, aparece el siguiente error: user is not in the sudoers file. This incident will be reported. Si es tu primera vez con Debian seguramente pienses:  “¿Qué he hecho mal?” . Tranquilo, no es culpa tuya. Este problema es bastante habitual en Debian porque, a diferencia de Ubuntu, el primer usuario creado durante la instalación no siempre se añade automáticamente al grupo  sudo . La buena noticia es que la solución es muy sencilla. ¿Por qué aparece este error en Debian? El error indica que tu usuario actual no tiene permisos para ejecutar comandos como administrador. En Debian, esos permisos se gestionan a través del archivo  /etc/sudoers  o mediante el grupo  sudo . 👉 En resumen: tu usuario no está autorizado para usar  sudo , pero el sistema funciona perfectamente. Solución paso a...
Leer más

Comando "NET USE", uso, parámetros y algunos ejemplos de uso

Imagen
   Introducción   El comando " net use " nos sirve para gestionar las conexiones a recursos compartidos y para mostrar información de las conexiones de Red existentes en nuestro equipo.         Parámetros   · ninguno: Escriba net use sin parámetros para obtener una lista de las conexiones de red.   · nombre_dispositivo: Asigna un nombre para la conexión al recurso o especifica el dispositivo que se va a desconectar. Hay dos tipos de nombres de dispositivos: Unidades de disco (D a Z) e impresoras (LPT1 a LPT3). Escriba un asterisco en lugar de un nombre específico de dispositivo para asignar el siguiente nombre de dispositivo disponible.   · \\nombre_equipo\recurso_compartido: Es el nombre del servidor y del recurso compartido. Si el nombre de equipo contiene caracteres en blanco, escriba la barra invertida doble (\\) y el nombre entre comillas (" "). El nombre de equipo puede tener entre 1 y 15 caracteres.   · \volumen: Especifica u...
Leer más