Сисадминство

5 инструментов для сканирования Linux-сервера для вредоносных программ и руткитов

Постоянный уровень мощных атак и сканирование портов на серверах Linux все время, в то время как правильно настроенный брандмауэр и регулярные обновления системы безопасности образуют дополнительный уровень, чтобы поддерживать безопасность системы, но вы также должны часто наблюдать за этим, если кто-то попадется. Это будет гарантировать, что на вашем сервере не останется никакой программы, целью которой является нарушение нормальной работы. Но не стоит забывать и о личной безопасности. Например можно воспользоваться аккаунтом соцсетей из магазина http://greenshop.su.

Средства, представленные в этой статье, создаются для таких проверок безопасности, и они могут идентифицировать вирусы, вредоносное ПО, руткиты и подозрительное поведение. Вы можете использовать эти инструменты, чтобы регулярно проверять систему, например каждую ночь, и отправлять почтовые сообщения на ваш адрес электронной почты.

1. Lynis — Аудит безопасности и сканер руткитов

Lynis — бесплатный, открытый, мощный и популярный инструмент для проверки и сканирования безопасности для Unix/Linux подобных операционных систем. Это средство сканирования вредоносных программ и обнаружения уязвимостей, которое сканирует системы на предмет информации о безопасности и возможных проблемах, целостности файлов, ошибок конфигурации; выполняет аудит брандмауэра, проверяет установленное программное обеспечение, разрешения файлов/каталогов и многое другое.

Важно отметить, что он не выполняет автоматическую настройку системы, однако он просто предлагает предложения, которые позволяют вам обезопасить сервер.

Мы установим последнюю версию Lynis (т.е. 2.6.6 ) из источников, используя следующие команды.

# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Теперь вы можете выполнить сканирование системы с помощью приведенной ниже команды.

# lynis audit system
Инструмент аудита безопасности Linux — Lynis

Чтобы автоматически запускать Lynis каждую ночь, добавьте следующую запись cron, которая будет работать в 3 ночи ночи и отправлять отчеты на ваш адрес электронной почты.

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" you@yourdomain.com

2. Chkrootkit — Сканеры руткитов Linux

Chkrootkit также является еще одним бесплатным детектором руткитов с открытым исходным кодом, который локально проверяет признаки руткита на Unix-подобных системах. Это помогает обнаружить скрытые дыры в безопасности. Пакет chkrootkit состоит из shell-скрипта, который проверяет системные двоичные файлы для модификации руткитов и ряд программ, которые проверяют различные проблемы безопасности.

Инструмент chkrootkit можно установить, используя следующую команду в системах на базе Debian.

$ sudo apt install chkrootkit

На CentOS-системах вам необходимо установить его из источников, используя следующие команды.

# yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense

Для проверки вашего сервера с помощью Chkrootkit выполните следующую команду.

$ sudo chkrootkit 
OR
# /usr/local/chkrootkit/chkrootkit

После запуска он начнет проверять вашу систему на наличие известных вредоносных ПО и руткитов, а после завершения процесса вы можете увидеть сводку отчета.

Чтобы сделать запуск Chkrootkit автоматическим каждой ночью, добавьте следующую запись cron, которая будет работать в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com

Rkhunter — Сканер руткитов Linux

RKH (RootKit Hunter) — бесплатный, открытый, мощный, простой в использовании и хорошо известный инструмент для сканирования бэкдоров, руткитов и локальных эксплойтов в POSIX-совместимых системах, таких как Linux. Как следует из названия, это руткит-охотник, средство мониторинга и анализа безопасности, которое тщательно проверяет систему для обнаружения скрытых дыр в безопасности.

Инструмент rkhunter можно установить, используя следующую команду в системах на базе Ubuntu и CentOS.

$ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter

Для проверки сервера с помощью rkhunter выполните следующую команду.

# rkhunter -c

Чтобы запускать rkhunter автоматически каждую ночь, добавьте следующую запись cron, которая будет работать в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com

4. ClamAV — антивирусное программное обеспечение

ClamAV — это открытый, универсальный, популярный и кросс-платформенный антивирус для обнаружения вирусов, вредоносных программ, троянов и других вредоносных программ на компьютере. Это одна из лучших бесплатных антивирусных программ для Linux и стандарт с открытым исходным кодом для сканирования почтового шлюза, который поддерживает почти все форматы почтовых файлов.

Он поддерживает обновления вирусных баз во всех системах и сканирование при доступе только на Linux. Кроме того, он может сканировать в архивах и сжатых файлах и поддерживает такие форматы, как Zip, Tar, 7Zip, Rar и многие другие функции.

ClamAV можно установить с помощью следующей команды на системах Debian основе.

$ sudo apt-get install clamav

ClamAV можно установить с помощью следующей команды на системах CentOS основе.

# yum -y update
# yum -y install clamav

После установки вы можете обновлять сигнатуры и сканировать каталог с помощью следующих команд.

# freshclam
# clamscan -r -i DIRECTORY

Где DIRECTORY — это место для сканирования. Параметры -r, означает рекурсивное сканирование и -i означает отображение только зараженных файлов.

5. Обнаружение вредоносных программ Linux — LMD

LMD (Linux Malware Detect) — это открытый и мощный полнофункциональный сканер вредоносных программ для Linux, специально разработанный и ориентированный на shared-hosted среды, но который можно использовать для обнаружения угроз в любой системе Linux. Он может быть интегрирован с движком сканера ClamAV для повышения производительности.

Он предоставляет полную систему отчетности для просмотра текущих и предыдущих результатов сканирования, поддерживает оповещение по электронной почте после каждого выполнения сканирования и многих других полезных функций.

LMD недоступен из онлайн-репозиториев, но распространяется как tarball с веб-сайта проекта. Tarball, содержащий исходный код последней версии, всегда доступен по следующей ссылке, где ее можно загрузить с помощью:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Затем нам нужно распаковать tarball и войти в каталог, в котором было извлечено его содержимое. Поскольку текущая версия 1.4.2, каталог maldetect-1.4.2 . Там мы найдем установочный скрипт install.sh .

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
Загрузка Linux Malware Detect

Если мы проверим скрипт установки, длина которого составляет всего 75 строк (включая комментарии), мы увидим, что он не только устанавливает этот инструмент, но также выполняет предварительную проверку, чтобы узнать, установлен ли каталог установки по умолчанию (/usr/local/maldetect ) существует. Если нет, сценарий создает каталог установки перед продолжением.

Наконец, после завершения установки ежедневное выполнение через cron запланировано, поместив скрипт cron.daily (см. Изображение выше) в /etc/cron.daily. Этот вспомогательный скрипт, среди прочего, очищает старые временные данные, проверяет наличие новых выпусков LMD и проверяет стандартные панели управления Apache и веб-панели (то есть CPanel, DirectAdmin, чтобы назвать несколько) каталогов данных по умолчанию.

При этом запустите сценарий установки как обычно:

# ./install.sh

Вот и все! В этой статье мы поделились списком из 5 инструментов для сканирования сервера Linux на наличие вредоносных программ и руткитов. Сообщите нам свои мысли в разделе комментариев.

Exit mobile version