5 eines per escanejar un servidor Linux per trobar programari maliciós i rootkits
Hi ha un nivell constant d'atacs elevats i exploracions de ports als servidors Linux tot el temps, mentre que un tallafoc configurat correctament i actualitzacions periòdiques del sistema de seguretat afegeixen una capa addicional per mantenir el sistema segur, però també hauríeu de vigilar amb freqüència si hi ha algú. també ajuda a garantir que el vostre servidor es mantingui lliure de qualsevol programa que tingui com a objectiu interrompre el seu funcionament normal.
Les eines que es presenten en aquest article es creen per a aquestes exploracions de seguretat i són capaços d'identificar virus, programaris maliciosos, rootkits i comportaments maliciosos. Podeu utilitzar aquestes eines per fer escanejos del sistema regularment, p. cada nit i envia informes a la teva adreça de correu electrònic.
1. Lynis: auditoria de seguretat i escàner de rootkit
Lynis és una eina d'escaneig i auditoria de seguretat gratuïta, de codi obert, potent i popular per a sistemes operatius com Unix/Linux. És una eina d'exploració de programari maliciós i de detecció de vulnerabilitats que escaneja els sistemes per trobar informació i problemes de seguretat, integritat de fitxers i errors de configuració; realitza auditories del tallafoc, comprova el programari instal·lat, els permisos de fitxers/directoris i molt més.
És important destacar que no realitza automàticament cap enduriment del sistema, però només ofereix suggeriments que us permeten endurir el vostre servidor.
Instal·larem la darrera versió de Lynis (és a dir, 2.6.6) des de les fonts, utilitzant les ordres següents.
# cd /opt/ # wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz # tar xvzf lynis-2.6.6.tar.gz # mv lynis /usr/local/ # ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Ara podeu realitzar l'escaneig del vostre sistema amb l'ordre següent.
# lynis audit system
Per fer que Lynis s'executi automàticament cada nit, afegiu l'entrada cron següent, que s'executarà a les 3 de la nit i enviarà informes a la vostra adreça de correu electrònic.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email
2. Chkrootkit: un escàner de rootkit de Linux
Chkrootkit també és un altre detector de rootkit gratuït i de codi obert que comprova localment els signes d'un rootkit en sistemes semblants a Unix. Ajuda a detectar forats de seguretat ocults. El paquet chkrootkit consta d'un script d'intèrpret d'ordres que verifica els binaris del sistema per a la modificació de rootkit i una sèrie de programes que comproven diversos problemes de seguretat.
L'eina chkrootkit es pot instal·lar mitjançant la següent comanda en sistemes basats en Debian.
$ sudo apt install chkrootkit
Als sistemes basats en CentOS, heu d'instal·lar-lo des de fonts mitjançant les ordres següents.
# yum update # yum install wget gcc-c++ glibc-static # wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz # tar –xzf chkrootkit.tar.gz # mkdir /usr/local/chkrootkit # mv chkrootkit-0.52/* /usr/local/chkrootkit # cd /usr/local/chkrootkit # make sense
Per comprovar el vostre servidor amb Chkrootkit, executeu l'ordre següent.
$ sudo chkrootkit OR # /usr/local/chkrootkit/chkrootkit
Un cop executat, començarà a comprovar el vostre sistema per detectar malwares i rootkits coneguts i, un cop finalitzat el procés, podreu veure el resum de l'informe.
Per fer que Chkrootkit s'executi automàticament cada nit, afegiu l'entrada cron següent, que s'executarà a les 3 de la nit i enviarà informes a la vostra adreça de correu electrònic.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email
Rkhunter: un escàner de rootkit de Linux
RKH (RootKit Hunter) és una eina gratuïta, de codi obert, potent, senzilla d'utilitzar i coneguda per escanejar portes posteriors, rootkits i explotacions locals en sistemes compatibles amb POSIX com Linux. Com el seu nom indica, és un caçador de rootkits, una eina de control i anàlisi de seguretat que inspecciona a fons un sistema per detectar forats de seguretat ocults.
L'eina rkhunter es pot instal·lar mitjançant la següent comanda als sistemes basats en Ubuntu i CentOS.
$ sudo apt install rkhunter # yum install epel-release # yum install rkhunter
Per comprovar el vostre servidor amb rkhunter, executeu l'ordre següent.
# rkhunter -c
Per fer que rkhunter s'executi automàticament cada nit, afegiu l'entrada cron següent, que s'executarà a les 3 de la nit i enviarà informes a la vostra adreça de correu electrònic.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email
4. ClamAV – Kit d'eines de programari antivirus
ClamAV és un motor antivirus de codi obert, versàtil, popular i multiplataforma per detectar virus, programari maliciós, troians i altres programes maliciosos en un ordinador. És un dels millors programes antivirus gratuïts per a Linux i l'estàndard de codi obert per al programari d'escaneig de passarel·les de correu que admet gairebé tots els formats de fitxers de correu.
Admet actualitzacions de bases de dades de virus en tots els sistemes i exploració en accés només a Linux. A més, pot escanejar arxius i fitxers comprimits i admet formats com Zip, Tar, 7Zip, Rar entre d'altres i més altres funcions.
El ClamAV es pot instal·lar mitjançant la següent comanda en sistemes basats en Debian.
$ sudo apt-get install clamav
El ClamAV es pot instal·lar mitjançant la següent comanda en sistemes basats en CentOS.
# yum -y update # yum -y install clamav
Un cop instal·lat, podeu actualitzar les signatures i escanejar un directori amb les ordres següents.
# freshclam # clamscan -r -i DIRECTORY
On DIRECTORY és la ubicació per escanejar. Les opcions -r vol dir escanejar recursivament i el -i significa mostrar només els fitxers infectats.
5. LMD – Linux Malware Detect
LMD (Linux Malware Detect) és un escàner de programari maliciós de codi obert, potent i amb totes les funcions per a Linux, dissenyat específicament i orientat a entorns allotjats compartits, però que es pot utilitzar per detectar amenaces en qualsevol sistema Linux. Es pot integrar amb el motor d'escàner ClamAV per obtenir un millor rendiment.
Proporciona un sistema d'informes complet per veure els resultats de l'escaneig actuals i anteriors, admet informes d'alertes per correu electrònic després de cada execució d'escaneig i moltes altres funcions útils.
Per a la instal·lació i l'ús de LMD, llegiu el nostre article Com instal·lar i utilitzar Linux Malware Detect (LMD) amb ClamAV com a motor antivirus.
Això és tot per ara! En aquest article, hem compartit una llista de 5 eines per escanejar un servidor Linux a la recerca de programari maliciós i rootkits. Feu-nos saber els vostres pensaments a la secció de comentaris.