5 rīki, lai skenētu Linux serveri ļaunprātīgas programmatūras un rootkitiem
Linux serveros visu laiku pastāvīgi augsti uzbrukumi un portu skenēšana, savukārt pareizi konfigurēts ugunsmūris un regulāri drošības sistēmas atjauninājumi pievieno papildu slāni, lai saglabātu sistēmas drošību, taču jums bieži vajadzētu arī skatīties, vai kāds ir iekļuvis. arī palīdz nodrošināt, ka jūsu serverī nav nevienas programmas, kuras mērķis ir traucēt tā normālu darbību.
Šajā rakstā sniegtie rīki ir izveidoti šīm drošības pārbaudēm, un tie spēj identificēt vīrusus, ļaunprātīgas programmatūras, rootkitus un ļaunprātīgu rīcību. Jūs varat izmantot šos rīkus, lai regulāri skenētu sistēmu, piem. katru vakaru un nosūtiet ziņojumus uz savu e-pasta adresi.
1. Lynis - drošības audits un rootkit skeneris
Lynis ir bezmaksas, atvērta pirmkoda, spēcīgs un populārs drošības audita un skenēšanas rīks Unix/Linux, piemēram, operētājsistēmām. Tas ir ļaunprātīgas programmatūras skenēšanas un ievainojamības noteikšanas rīks, kas skenē sistēmas drošības informācijai un jautājumiem, failu integritātei, konfigurācijas kļūdām; veic ugunsmūra auditu, pārbauda instalēto programmatūru, failu/direktoriju atļaujas un vēl daudz ko citu.
Svarīgi ir tas, ka tas automātiski neveic sistēmas sacietēšanu, tomēr tas vienkārši piedāvā ieteikumus, kas ļauj jums sacietēt serveri.
Mēs instalēsim jaunāko Lynis versiju (t.i. 2.6.6) no avotiem, izmantojot šādas komandas.
# cd /opt/ # wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz # tar xvzf lynis-2.6.6.tar.gz # mv lynis /usr/local/ # ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Tagad jūs varat veikt sistēmas skenēšanu ar zemāk esošo komandu.
# lynis audit system
Lai katru vakaru automātiski palaistu Lynis, pievienojiet šādu ierakstu cron, kas darbosies 3:00 naktī un nosūtīs pārskatus uz jūsu e-pasta adresi.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email
2. Chkrootkit - Linux Rootkit skeneri
Chkrootkit ir arī vēl viens bezmaksas, atvērtā koda rootkit detektors, kas lokāli pārbauda rootkit pazīmes Unix līdzīgās sistēmās. Tas palīdz atklāt slēptās drošības caurumus. Chkrootkit pakotne sastāv no čaulas skripta, kas pārbauda sistēmas bināros failus, vai nav modificētas rootkit, un no vairākām programmām, kas pārbauda dažādas drošības problēmas.
Rīku chkrootkit var instalēt, izmantojot šādu komandu Debian balstītās sistēmās.
$ sudo apt install chkrootkit
CentOS balstītās sistēmās tas jāinstalē no avotiem, izmantojot šādas komandas.
# yum update # yum install wget gcc-c++ glibc-static # wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz # tar –xzf chkrootkit.tar.gz # mkdir /usr/local/chkrootkit # mv chkrootkit-0.52/* /usr/local/chkrootkit # cd /usr/local/chkrootkit # make sense
Lai pārbaudītu serveri, izmantojot Chkrootkit, izpildiet šādu komandu.
$ sudo chkrootkit OR # /usr/local/chkrootkit/chkrootkit
Pēc palaišanas tā sāks pārbaudīt, vai sistēmā nav zināmu Malwares un Rootkits, un pēc procesa beigām jūs varat redzēt pārskata kopsavilkumu.
Lai katru vakaru automātiski palaistu Chkrootkit, pievienojiet šādu cron ierakstu, kas darbosies 3:00 naktī un nosūtīs pārskatus uz jūsu e-pasta adresi.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email
Rkhunter - Linux Rootkit skeneri
RKH (RootKit Hunter) ir bezmaksas, atvērta pirmkoda, jaudīgs, vienkārši lietojams un labi pazīstams rīks aizmugurējo durvju, rootkit un vietējo izmantojumu skenēšanai POSIX saderīgās sistēmās, piemēram, Linux. Kā norāda nosaukums, tas ir rootkit mednieks, drošības uzraudzības un analizēšanas rīks, kas rūpīgi pārbauda sistēmu, lai atklātu slēptās drošības nepilnības.
Rkhunter rīku var instalēt, izmantojot šādu komandu Ubuntu un CentOS balstītās sistēmās.
$ sudo apt install rkhunter # yum install epel-release # yum install rkhunter
Lai pārbaudītu serveri ar rkhunter, izpildiet šādu komandu.
# rkhunter -c
Lai katru vakaru automātiski palaistu rkhunter, pievienojiet šādu cron ierakstu, kas darbosies 3:00 naktī un nosūtīs pārskatus uz jūsu e-pasta adresi.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email
4. ClamAV - pretvīrusu programmatūras rīkkopa
ClamAV ir atvērtā koda, daudzpusīgs, populārs un starpplatformu antivīrusu dzinējs vīrusu, ļaunprogrammatūras, Trojas zirgu un citu ļaunprātīgu programmu noteikšanai datorā. Tā ir viena no labākajām bezmaksas pretvīrusu programmām Linux un atvērtā koda standarts pasta vārtejas skenēšanas programmatūrai, kas atbalsta gandrīz visus pasta failu formātus.
Tas atbalsta vīrusu datu bāzes atjauninājumus visās sistēmās un piekļuves skenēšanu tikai Linux. Turklāt tas var skenēt arhīvos un saspiestos failos un atbalsta tādus formātus kā Zip, Tar, 7Zip, Rar un citas citas funkcijas.
ClamAV var instalēt, izmantojot šādu komandu Debian sistēmās.
$ sudo apt-get install clamav
ClamAV var instalēt, izmantojot šādu komandu uz CentOS balstītās sistēmās.
# yum -y update # yum -y install clamav
Pēc instalēšanas jūs varat atjaunināt parakstus un skenēt direktoriju, izmantojot šādas komandas.
# freshclam # clamscan -r -i DIRECTORY
Kur direktorija ir skenējamā vieta. Opcijas -r nozīmē rekursīvu skenēšanu, un -i nozīmē tikai parādīt inficētos failus.
5. LMD - Linux Malware Detect
LMD (Linux Malware Detect) ir atvērtā koda, jaudīgs un pilnībā aprīkots ļaunprātīgas programmatūras skeneris Linux, kas īpaši izstrādāts un mērķēts uz koplietotajām mitinātajām vidēm, taču to var izmantot, lai atklātu draudus jebkurā Linux sistēmā. Labākai veiktspējai to var integrēt ar ClamAV skenera dzinēju.
Tas nodrošina pilnu pārskatu sistēmu, lai skatītu pašreizējos un iepriekšējos skenēšanas rezultātus, atbalsta e-pasta brīdinājumu ziņojumus pēc katras skenēšanas izpildes un daudzas citas noderīgas funkcijas.
Par LMD instalēšanu un lietošanu lasiet mūsu rakstā Kā instalēt un izmantot Linux Malware Detect (LMD) ar ClamAV kā pretvīrusu dzinēju.
Tas pagaidām ir viss! Šajā rakstā mēs kopīgojām 5 rīku sarakstu, lai Linux serverī meklētu ļaunprātīgu programmatūru un rootkit. Informējiet mūs par savām domām komentāru sadaļā.