5 instrumente pentru a scana un server Linux pentru malware și rootkit-uri
Există un nivel constant de atacuri ridicate și scanări de porturi pe serverele Linux tot timpul, în timp ce un firewall configurat corespunzător și actualizări regulate ale sistemului de securitate adaugă un strat suplimentar pentru a menține sistemul în siguranță, dar ar trebui să urmăriți frecvent dacă cineva a intrat. De asemenea, vă ajută să vă asigurați că serverul dvs. rămâne liber de orice program care urmărește să-i perturbe funcționarea normală.
Instrumentele prezentate în acest articol sunt create pentru aceste scanări de securitate și sunt capabile să identifice viruși, programe malware, rootkit-uri și comportamente rău intenționate. Puteți utiliza aceste instrumente pentru a face în mod regulat scanări ale sistemului, de ex. în fiecare noapte și trimiteți rapoarte la adresa dvs. de e-mail.
1. Lynis – Audit de securitate și scaner rootkit
Lynis este un instrument gratuit, open source, puternic și popular de auditare și scanare a securității pentru sistemele de operare similare Unix/Linux. Este un instrument de scanare a malware și de detectare a vulnerabilităților care scanează sistemele pentru informații și probleme de securitate, integritatea fișierelor, erori de configurare; efectuează auditarea firewall-ului, verifică software-ul instalat, permisiunile pentru fișiere/directoare și multe altele.
Important este că nu efectuează automat nicio întărire a sistemului, cu toate acestea, oferă pur și simplu sugestii care vă permit să vă întăriți serverul.
Vom instala cea mai recentă versiune a Lynis (adică 2.6.6) din surse, folosind următoarele comenzi.
# cd /opt/ # wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz # tar xvzf lynis-2.6.6.tar.gz # mv lynis /usr/local/ # ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Acum puteți efectua scanarea sistemului cu comanda de mai jos.
# lynis audit system
Pentru a face să ruleze Lynis în mod automat în fiecare noapte, adăugați următoarea intrare cron, care va rula la ora 3:00 noaptea și va trimite rapoarte la adresa dvs. de e-mail.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server"
2. Chkrootkit – Un Linux Rootkit Scanere
Chkrootkit este, de asemenea, un alt detector de rootkit gratuit, open source, care verifică local semnele unui rootkit pe sisteme asemănătoare Unix. Ajută la detectarea găurilor de securitate ascunse. Pachetul chkrootkit constă dintr-un script shell care verifică binarele de sistem pentru modificarea rootkit-ului și o serie de programe care verifică diverse probleme de securitate.
Instrumentul chkrootkit poate fi instalat folosind următoarea comandă pe sisteme bazate pe Debian.
$ sudo apt install chkrootkit
Pe sistemele bazate pe CentOS, trebuie să îl instalați din surse folosind următoarele comenzi.
# yum update # yum install wget gcc-c++ glibc-static # wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz # tar –xzf chkrootkit.tar.gz # mkdir /usr/local/chkrootkit # mv chkrootkit-0.52/* /usr/local/chkrootkit # cd /usr/local/chkrootkit # make sense
Pentru a vă verifica serverul cu Chkrootkit, executați următoarea comandă.
$ sudo chkrootkit OR # /usr/local/chkrootkit/chkrootkit
Odată rulat, va începe să verifice sistemul dumneavoastră pentru malware-uri și rootkit-uri cunoscute, iar după ce procesul este terminat, puteți vedea rezumatul raportului.
Pentru ca Chkrootkit să ruleze automat în fiecare noapte, adăugați următoarea intrare cron, care va rula la ora 3:00 noaptea și va trimite rapoarte la adresa dvs. de e-mail.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server"
Rkhunter – Scanere Linux Rootkit
RKH (RootKit Hunter) este un instrument gratuit, open source, puternic, simplu de utilizat și binecunoscut pentru scanarea ușilor din spate, rootkit-urilor și exploit-urilor locale pe sisteme compatibile POSIX, cum ar fi Linux. După cum sugerează și numele, este un vânător de rootkit, un instrument de monitorizare și analiză a securității care inspectează amănunțit un sistem pentru a detecta găurile de securitate ascunse.
Instrumentul rkhunter poate fi instalat folosind următoarea comandă pe sistemele bazate pe Ubuntu și CentOS.
$ sudo apt install rkhunter # yum install epel-release # yum install rkhunter
Pentru a vă verifica serverul cu rkhunter, executați următoarea comandă.
# rkhunter -c
Pentru ca rkhunter să ruleze automat în fiecare noapte, adăugați următoarea intrare cron, care va rula la ora 3:00 noaptea și va trimite rapoarte la adresa dvs. de e-mail.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server"
4. ClamAV – Kit de instrumente software antivirus
ClamAV este un motor antivirus cu sursă deschisă, versatil, popular și multiplatformă pentru a detecta viruși, malware, troieni și alte programe rău intenționate pe un computer. Este unul dintre cele mai bune programe antivirus gratuite pentru Linux și standardul open source pentru software-ul de scanare poarta de e-mail care acceptă aproape toate formatele de fișiere de e-mail.
Acceptă actualizările bazei de date cu viruși pe toate sistemele și scanarea la acces numai pe Linux. În plus, poate scana în arhive și fișiere comprimate și acceptă formate precum Zip, Tar, 7Zip, Rar, printre altele și multe alte caracteristici.
ClamAV poate fi instalat folosind următoarea comandă pe sisteme bazate pe Debian.
$ sudo apt-get install clamav
ClamAV poate fi instalat folosind următoarea comandă pe sisteme bazate pe CentOS.
# yum -y update # yum -y install clamav
Odată instalat, puteți actualiza semnăturile și puteți scana un director cu următoarele comenzi.
# freshclam # clamscan -r -i DIRECTORY
Unde DIRECTORY este locația de scanat. Opțiunile -r înseamnă scanare recursiv, iar -i înseamnă să afișați numai fișierele infectate.
5. LMD – Linux Malware Detect
LMD (Linux Malware Detect) este un scaner de malware cu sursă deschisă, puternic și complet pentru Linux, conceput special și direcționat către medii găzduite partajate, dar poate fi folosit pentru a detecta amenințările pe orice sistem Linux. Poate fi integrat cu motorul de scanare ClamAV pentru o performanță mai bună.
Oferă un sistem complet de raportare pentru a vizualiza rezultatele scanării curente și anterioare, acceptă raportarea alertelor prin e-mail după fiecare execuție a scanării și multe alte caracteristici utile.
Pentru instalarea și utilizarea LMD, citiți articolul nostru Cum să instalați și să utilizați Linux Malware Detect (LMD) cu ClamAV ca motor antivirus.
Asta este tot pentru acum! În acest articol, am împărtășit o listă de 5 instrumente pentru a scana un server Linux pentru malware și rootkit-uri. Spune-ne gândurile tale în secțiunea de comentarii.