5 værktøjer til at scanne en Linux-server til malware og rootkits
Der er konstant niveau af høje angreb og portscanninger på Linux-servere hele tiden, mens en korrekt konfigureret firewall og regelmæssige opdateringer til sikkerhedssystemet tilføjer et ekstra lag for at holde systemet sikkert, men du bør også ofte se, om nogen kom ind. Dette vil hjælper også med at sikre, at din server forbliver fri for ethvert program, der sigter mod at forstyrre dens normale drift.
De værktøjer, der præsenteres i denne artikel, er oprettet til disse sikkerhedsscanninger, og de er i stand til at identificere Virus, Malwares, Rootkits og ondsindet adfærd. Du kan bruge disse værktøjer til regelmæssigt at scanne systemet f.eks. hver nat og mail rapporter til din e-mail-adresse.
1. Lynis - Sikkerhedsrevision og Rootkit-scanner
Lynis er et gratis, open source, kraftfuldt og populært sikkerhedsrevisions- og scanningsværktøj til Unix/Linux-lignende operativsystemer. Det er et malware-scannings- og sårbarhedsdetekteringsværktøj, der scanner systemer for sikkerhedsoplysninger og -problemer, filintegritet, konfigurationsfejl; udfører firewall-revision, kontrollerer installeret software, fil-/katalogtilladelser og så meget mere.
Det er vigtigt, at det ikke automatisk udfører systemhærdning, men det giver simpelthen forslag, der gør det muligt for dig at hærde din server.
Vi installerer den nyeste version af Lynis (dvs. 2.6.6) fra kilderne ved hjælp af følgende kommandoer.
# cd /opt/ # wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz # tar xvzf lynis-2.6.6.tar.gz # mv lynis /usr/local/ # ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Nu kan du udføre din systemscanning med kommandoen nedenfor.
# lynis audit system
For at få Lynis til at køre automatisk hver aften skal du tilføje følgende cron-post, som kører kl. 3 om natten og sende rapporter til din e-mail-adresse.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email
2. Chkrootkit - En Linux Rootkit-scannere
Chkrootkit er også en anden gratis open source rootkit-detektor, der lokalt kontrollerer for tegn på et rootkit på et Unix-lignende system. Det hjælper med at opdage skjulte sikkerhedshuller. Chkrootkit-pakken består af et shell-script, der kontrollerer systembinarier for rootkit-ændring og et antal programmer, der kontrollerer forskellige sikkerhedsproblemer.
Chkrootkit-værktøjet kan installeres ved hjælp af følgende kommando på Debian-baserede systemer.
$ sudo apt install chkrootkit
På CentOS-baserede systemer skal du installere det fra kilder ved hjælp af følgende kommandoer.
# yum update # yum install wget gcc-c++ glibc-static # wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz # tar –xzf chkrootkit.tar.gz # mkdir /usr/local/chkrootkit # mv chkrootkit-0.52/* /usr/local/chkrootkit # cd /usr/local/chkrootkit # make sense
For at kontrollere din server med Chkrootkit skal du køre følgende kommando.
$ sudo chkrootkit OR # /usr/local/chkrootkit/chkrootkit
Når det er kørt, begynder det at kontrollere dit system for kendte Malwares og Rootkits, og når processen er afsluttet, kan du se oversigten over rapporten.
For at køre Chkrootkit automatisk hver aften skal du tilføje følgende cron-post, som kører kl. 3 om natten og sende rapporter til din e-mail-adresse.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email
Rkhunter - En Linux Rootkit-scannere
RKH (RootKit Hunter) er et gratis, open source, kraftfuldt, nemt at bruge og velkendt værktøj til scanning af bagdøre, rootkits og lokale bedrifter på POSIX-kompatible systemer som Linux. Som navnet antyder, er det en rootkit-jæger, sikkerhedsovervågnings- og analyseværktøj, der grundigt inspicerer et system for at opdage skjulte sikkerhedshuller.
Rkhunter-værktøjet kan installeres ved hjælp af følgende kommando på Ubuntu og CentOS-baserede systemer.
$ sudo apt install rkhunter # yum install epel-release # yum install rkhunter
For at kontrollere din server med rkhunter skal du køre følgende kommando.
# rkhunter -c
For at gøre køre rkhunter automatisk hver aften skal du tilføje følgende cron-post, som kører kl. 3 om natten og sende rapporter til din e-mail-adresse.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email
4. ClamAV - Antivirussoftwareværktøj
ClamAV er en open source, alsidig, populær og platformoverskridende antivirusmotor til at opdage vira, malware, trojanske heste og andre ondsindede programmer på en computer. Det er et af de bedste gratis antivirusprogrammer til Linux og open source-standarden for mail gateway-scanningssoftware, der understøtter næsten alle mailfilformater.
Det understøtter virusdatabaseopdateringer på alle systemer og kun scanning på Linux på Linux. Derudover kan den scanne i arkiver og komprimerede filer og understøtter formater som Zip, Tar, 7Zip, Rar blandt andre og flere andre funktioner.
ClamAV kan installeres ved hjælp af følgende kommando på Debian-baserede systemer.
$ sudo apt-get install clamav
ClamAV kan installeres ved hjælp af følgende kommando på CentOS-baserede systemer.
# yum -y update # yum -y install clamav
Når du er installeret, kan du opdatere underskrifterne og scanne en mappe med følgende kommandoer.
# freshclam # clamscan -r -i DIRECTORY
Hvor DIRECTORY er det sted, der skal scannes. Indstillingerne -r betyder recursivt scanning og -i betyder kun at vise inficerede filer.
5. LMD - Linux Malware Detect
LMD (Linux Malware Detect) er en open source, kraftfuld og fuldt udstyret malware-scanner til Linux specifikt designet og målrettet mod delte hostede miljøer, men kan bruges til at opdage trusler på ethvert Linux-system. Det kan integreres med ClamAV scannermotor for bedre ydelse.
Det giver et komplet rapporteringssystem til at se aktuelle og tidligere scanningsresultater, understøtter rapportering af e-mail-alarm efter hver scanningskørsel og mange andre nyttige funktioner.
For LMD installation og brug, læs vores artikel Sådan installeres og bruges Linux Malware Detect (LMD) med ClamAV som Antivirus Engine.
Det er alt for nu! I denne artikel delte vi en liste over 5 værktøjer til at scanne en Linux-server for malware og rootkits. Fortæl os om dine tanker i kommentarfeltet.