5 nástrojů pro kontrolu linuxového serveru na přítomnost malwaru a rootkitů
Na linuxových serverech neustále dochází ke stálým úrovním vysokých útoků a skenování portů, zatímco správně nakonfigurovaný firewall a pravidelné aktualizace bezpečnostního systému přidávají další vrstvu, aby byl systém bezpečný, ale měli byste také často sledovat, jestli se někdo nedostane dovnitř. také pomáhají zajistit, že váš server zůstane bez jakéhokoli programu, který má za cíl narušit jeho normální provoz.
Nástroje uvedené v tomto článku jsou vytvořeny pro tato bezpečnostní prověřování a jsou schopny identifikovat viry, malware, rootkity a škodlivé chování. Tyto nástroje můžete použít k provádění pravidelných kontrol systému, např. každou noc a zasílejte zprávy na vaši e-mailovou adresu.
1. Lynis – Bezpečnostní audit a skener rootkitů
Lynis je bezplatný, open source, výkonný a oblíbený nástroj pro bezpečnostní audit a skenování pro operační systémy Unix/Linux. Jedná se o nástroj pro skenování malwaru a zjišťování zranitelnosti, který v systémech kontroluje bezpečnostní informace a problémy, integritu souborů, chyby konfigurace; provádí audit brány firewall, kontroluje nainstalovaný software, oprávnění k souborům/adresářům a mnoho dalšího.
Důležité je, že automaticky neprovádí žádné zpevnění systému, ale pouze nabízí návrhy, které vám umožní zpevnit váš server.
Nejnovější verzi Lynis (tj. 3.0.9) nainstalujeme ze zdrojů pomocí následujících příkazů.
cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Nyní můžete provést skenování systému pomocí příkazu níže.
sudo lynis audit system
Chcete-li, aby se lynis spouštěl automaticky každou noc, přidejte následující záznam v cron, který se spustí ve 3:00 v noci a zasílá přehledy na vaši e-mailovou adresu.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email
2. Chkrootkit – linuxové skenery rootkitů
Chkrootkit je také další bezplatný open-source detektor rootkitů, který lokálně kontroluje známky rootkitu na systémech podobných Unixu. Pomáhá odhalit skryté bezpečnostní díry.
Balíček chkrootkit se skládá ze skriptu shellu, který kontroluje systémové binární soubory na modifikaci rootkitů, a řady programů, které kontrolují různé bezpečnostní problémy.
Nástroj chkrootkit lze nainstalovat pomocí následujícího příkazu na systémech založených na Debianu.
sudo apt install chkrootkit
Na systémech založených na RHEL jej musíte nainstalovat ze zdrojů pomocí následujících příkazů.
sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense
Chcete-li zkontrolovat server pomocí Chkrootkit, spusťte následující příkaz.
sudo chkrootkit
OR
sudo /usr/local/chkrootkit/chkrootkit
Po spuštění začne kontrolovat váš systém na přítomnost známého malwaru a rootkitů a po dokončení procesu se zobrazí souhrn zprávy.
Chcete-li spouštět Chkrootkit automaticky každou noc, přidejte následující záznam v cron, který se spustí ve 3:00 v noci a bude odesílat přehledy na vaši e-mailovou adresu.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email
3. Rkhunter – linuxové rootkit skenery
RootKit Hunter je bezplatný, open source, výkonný, snadno použitelný a dobře známý nástroj pro skenování zadních vrátek, rootkitů a místních exploitů na systémech kompatibilních s POSIX, jako je Linux.
Jak název napovídá, jedná se o lovce rootkitů, nástroj pro monitorování a analýzu zabezpečení, který důkladně prověřuje systém, aby odhalil skryté bezpečnostní díry.
Nástroj rkhunter lze nainstalovat pomocí následujícího příkazu v systémech Ubuntu a RHEL .
sudo apt install rkhunter [On Debian systems]
sudo yum install rkhunter [On RHEL systems]
Chcete-li zkontrolovat server pomocí rkhunter, spusťte následující příkaz.
sudo rkhunter -c
Chcete-li rkhunter spouštět automaticky každou noc, přidejte následující cron záznam, který se spustí ve 3:00 v noci a bude odesílat zprávy na vaši e-mailovou adresu.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email
4. ClamAV – Antivirus Software Toolkit
ClamAV je open-source, všestranný, populární a multiplatformní antivirový modul pro detekci virů, malwaru, trojských koní a dalších škodlivých programů v počítači.
Je to jeden z nejlepších bezplatných antivirových programů pro Linux a open-source standard pro skenovací software poštovní brány, který podporuje téměř všechny formáty souborů pošty.
Podporuje aktualizace virové databáze na všech systémech a on-access skenování pouze na Linuxu. Kromě toho může skenovat v archivech a komprimovaných souborech a podporuje formáty jako Zip, Tar, 7Zip a Rar a další funkce.
ClamAV lze nainstalovat pomocí následujícího příkazu na systémy založené na Debianu.
sudo apt install clamav
ClamAV lze nainstalovat pomocí následujícího příkazu na systémy založené na RHEL.
sudo yum -y update
sudo -y install clamav
Po instalaci můžete aktualizovat podpisy a skenovat adresář pomocí následujících příkazů.
freshclam
sudo clamscan -r -i DIRECTORY
Kde DIRECTORY je umístění, které se má skenovat. Volby -r znamenají rekurzivní skenování a -i znamená zobrazit pouze infikované soubory.
5. LMD – Linux Malware Detect
LMD (Linux Malware Detect) je open source, výkonný a plně vybavený malwarový skener pro Linux speciálně navržený a zaměřený na sdílená hostovaná prostředí, ale lze jej použít k detekci hrozeb na jakémkoli systému Linux. Pro lepší výkon jej lze integrovat se skenerem ClamAV.
Poskytuje úplný systém hlášení pro zobrazení aktuálních a předchozích výsledků skenování, podporuje hlášení e-mailových upozornění po každém provedení skenování a mnoho dalších užitečných funkcí.
Pro instalaci a použití LMD si přečtěte náš článek Jak nainstalovat LMD s ClamAV jako antivirový modul v Linuxu.
To je prozatím vše! V tomto článku jsme sdíleli seznam 5 nástrojů pro skenování linuxového serveru na malware a rootkity. Dejte nám vědět své myšlenky v sekci komentářů.