5 narzędzi do skanowania serwera Linux w poszukiwaniu złośliwego oprogramowania i rootkitów
Na serwerach z systemem Linux przez cały czas występuje stały poziom częstych ataków i skanowań portów, podczas gdy prawidłowo skonfigurowana zapora sieciowa i regularne aktualizacje systemu bezpieczeństwa stanowią dodatkową warstwę zapewniającą bezpieczeństwo systemu, ale należy również często obserwować, czy ktoś się do niego dostanie. To spowoduje, że pomagają także zapewnić, że Twój serwer będzie wolny od wszelkich programów mających na celu zakłócenie jego normalnego działania.
Narzędzia przedstawione w tym artykule są stworzone na potrzeby tych skanowań bezpieczeństwa i potrafią identyfikować wirusy, złośliwe oprogramowanie, rootkity i złośliwe zachowania. Za pomocą tych narzędzi możesz regularnie skanować system, np. każdego wieczoru i wysyłaj raporty na swój adres e-mail.
1. Lynis – audyt bezpieczeństwa i skaner rootkitów
Lynis to bezpłatne, wydajne i popularne narzędzie do audytu i skanowania bezpieczeństwa o otwartym kodzie źródłowym dla systemów operacyjnych typu Unix/Linux. Jest to narzędzie do skanowania złośliwego oprogramowania i wykrywania luk w zabezpieczeniach, które skanuje systemy pod kątem informacji i problemów związanych z bezpieczeństwem, integralności plików i błędów konfiguracji; przeprowadza audyt zapory sieciowej, sprawdza zainstalowane oprogramowanie, uprawnienia do plików/katalogów i wiele więcej.
Co ważne, nie wykonuje automatycznie żadnego wzmacniania systemu, a jedynie oferuje sugestie, które umożliwiają wzmocnienie serwera.
Zainstalujemy najnowszą wersję Lynis (tj. 3.0.9) ze źródeł za pomocą poniższych poleceń.
cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Teraz możesz wykonać skanowanie systemu za pomocą poniższego polecenia.
sudo lynis audit system
Aby program lynis uruchamiał się automatycznie co noc, dodaj następujący wpis cron, który będzie uruchamiał się o 3 w nocy i wysyłał raporty na Twój adres e-mail.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email
2. Chkrootkit – skaner rootkitów dla systemu Linux
Chkrootkit to także kolejny darmowy wykrywacz rootkitów o otwartym kodzie źródłowym, który lokalnie sprawdza oznaki obecności rootkitów w systemach uniksowych. Pomaga wykryć ukryte luki w zabezpieczeniach.
Pakiet chkrootkit składa się ze skryptu powłoki, który sprawdza systemowe pliki binarne pod kątem modyfikacji rootkitów oraz szeregu programów sprawdzających różne problemy związane z bezpieczeństwem.
Narzędzie chkrootkit można zainstalować za pomocą następującego polecenia w systemach opartych na Debianie.
sudo apt install chkrootkit
W systemach opartych na RHEL należy zainstalować go ze źródeł za pomocą następujących poleceń.
sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense
Aby sprawdzić swój serwer za pomocą Chkrootkit, uruchom następujące polecenie.
sudo chkrootkit
OR
sudo /usr/local/chkrootkit/chkrootkit
Po uruchomieniu rozpocznie sprawdzanie systemu pod kątem znanych złośliwych programów i rootkitów, a po zakończeniu procesu wyświetli się podsumowanie raportu.
Aby automatycznie uruchamiać Chkrootkit każdej nocy, dodaj następujący wpis cron, który będzie uruchamiał się o 3 w nocy i wysyłał raporty na Twój adres e-mail.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email
3. Rkhunter – skaner rootkitów dla systemu Linux
RootKit Hunter to bezpłatne, open source, potężne, proste w obsłudze i dobrze znane narzędzie do skanowania backdoorów, rootkitów i lokalnych exploitów w systemach zgodnych z POSIX, takich jak Linux.
Jak sama nazwa wskazuje, jest to łowca rootkitów, narzędzie do monitorowania i analizy bezpieczeństwa, które dokładnie sprawdza system w celu wykrycia ukrytych luk w zabezpieczeniach.
Narzędzie rkhunter można zainstalować za pomocą następującego polecenia w systemach Ubuntu i opartych na RHEL.
sudo apt install rkhunter [On Debian systems]
sudo yum install rkhunter [On RHEL systems]
Aby sprawdzić swój serwer za pomocą rkhunter, uruchom następujące polecenie.
sudo rkhunter -c
Aby automatycznie uruchamiać rkhunter każdej nocy, dodaj następujący wpis cron, który będzie uruchamiał się o 3 w nocy i wysyłał raporty na Twój adres e-mail.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email
4. ClamAV – zestaw narzędzi oprogramowania antywirusowego
ClamAV to wszechstronny, popularny i wieloplatformowy silnik antywirusowy typu open source, służący do wykrywania wirusów, złośliwego oprogramowania, trojanów i innych złośliwych programów na komputerze.
Jest to jeden z najlepszych darmowych programów antywirusowych dla systemu Linux i standard open source dla oprogramowania do skanowania bram pocztowych, który obsługuje prawie wszystkie formaty plików pocztowych.
Obsługuje aktualizacje baz danych wirusów we wszystkich systemach i skanowanie dostępowe tylko w systemie Linux. Ponadto może skanować archiwa i skompresowane pliki oraz obsługuje między innymi takie formaty, jak Zip, Tar, 7Zip i Rar oraz inne funkcje.
ClamAV można zainstalować za pomocą następującego polecenia w systemach opartych na Debianie.
sudo apt install clamav
ClamAV można zainstalować za pomocą następującego polecenia w systemach opartych na RHEL.
sudo yum -y update
sudo -y install clamav
Po zainstalowaniu możesz zaktualizować podpisy i przeskanować katalog za pomocą następujących poleceń.
freshclam
sudo clamscan -r -i DIRECTORY
Gdzie DIRECTORY to lokalizacja do przeskanowania. Opcje -r oznaczają skanowanie rekurencyjne, a -i oznaczają wyświetlanie tylko zainfekowanych plików.
5. LMD – wykrywanie złośliwego oprogramowania w systemie Linux
LMD (Linux Malware Detect) to wydajny i w pełni funkcjonalny skaner złośliwego oprogramowania typu open source dla systemu Linux, zaprojektowany specjalnie i przeznaczony do współdzielonych środowisk hostowanych, ale można go używać do wykrywania zagrożeń w dowolnym systemie Linux. Można go zintegrować z silnikiem skanera ClamAV, aby uzyskać lepszą wydajność.
Zapewnia pełny system raportowania umożliwiający przeglądanie bieżących i poprzednich wyników skanowania, obsługuje raportowanie alertów e-mail po każdym wykonaniu skanowania i wiele innych przydatnych funkcji.
Informacje na temat instalacji i użytkowania LMD można znaleźć w naszym artykule Jak zainstalować LMD z ClamAV jako silnikiem antywirusowym w systemie Linux.
To wszystko na teraz! W tym artykule udostępniliśmy listę 5 narzędzi do skanowania serwera Linux w poszukiwaniu złośliwego oprogramowania i rootkitów. Daj nam znać swoje przemyślenia w sekcji komentarzy.