5 инструментов для сканирования Linux-сервера на наличие вредоносных программ и руткитов
На серверах Linux постоянно происходят интенсивные атаки и сканирование портов, а правильно настроенный брандмауэр и регулярные обновления системы безопасности добавляют дополнительный уровень для обеспечения безопасности системы, но вам также следует часто следить, не проникнет ли кто-нибудь в систему. также поможет гарантировать, что на вашем сервере не будет никаких программ, направленных на нарушение его нормальной работы.
Инструменты, представленные в этой статье, созданы для такого сканирования безопасности и способны выявлять вирусы, вредоносные программы, руткиты и вредоносные программы. поведение. Вы можете использовать эти инструменты для регулярного сканирования системы, например. каждую ночь и отправляйте отчеты на свой адрес электронной почты.
1. Lynis — аудит безопасности и сканер руткитов
Lynis — это бесплатный, мощный и популярный инструмент с открытым исходным кодом для аудита и сканирования безопасности для Unix/Linux-подобных операционных систем. Это инструмент сканирования вредоносных программ и обнаружения уязвимостей, который сканирует системы на предмет информации и проблем безопасности, целостности файлов, ошибок конфигурации; выполняет аудит брандмауэра, проверяет установленное программное обеспечение, права доступа к файлам/каталогам и многое другое.
Важно отметить, что он не выполняет никакого усиления защиты системы автоматически, а просто предлагает предложения, которые позволят вам усилить защиту вашего сервера.
Мы установим последнюю версию Lynis (т. е. 3.0.9) из исходных кодов, используя следующие команды.
cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Теперь вы можете выполнить сканирование системы с помощью команды ниже.
sudo lynis audit system
Чтобы lynis запускался автоматически каждую ночь, добавьте следующую запись в cron, которая будет запускаться в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email
2. Chkrootkit — сканер руткитов Linux.
Chkrootkit — это еще один бесплатный детектор руткитов с открытым исходным кодом, который локально проверяет наличие признаков руткита в Unix-подобных системах. Это помогает обнаружить скрытые дыры в безопасности.
Пакет chkrootkit состоит из сценария оболочки, проверяющего системные двоичные файлы на наличие модификаций руткитов, и ряда программ, проверяющих различные проблемы безопасности.
Инструмент chkrootkit можно установить с помощью следующей команды в системах на базе Debian.
sudo apt install chkrootkit
В системах на базе RHEL вам необходимо установить его из исходников, используя следующие команды.
sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense
Чтобы проверить свой сервер с помощью Chkrootkit, выполните следующую команду.
sudo chkrootkit
OR
sudo /usr/local/chkrootkit/chkrootkit
После запуска он начнет проверять вашу систему на наличие известных вредоносных программ и руткитов, и после завершения процесса вы сможете увидеть сводку отчета.
Чтобы автоматически запускать Chkrootkit каждую ночь, добавьте следующую запись cron, которая будет запускаться в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email
3. Rkhunter – сканер руткитов Linux
RootKit Hunter — это бесплатный, мощный, простой в использовании и хорошо известный инструмент с открытым исходным кодом для сканирования бэкдоров, руткитов и локальных эксплойтов в POSIX-совместимых системах, таких как Linux.
Как следует из названия, это охотник за руткитами, инструмент мониторинга и анализа безопасности, который тщательно проверяет систему на предмет обнаружения скрытых дыр в безопасности.
Инструмент rkhunter можно установить с помощью следующей команды в системах Ubuntu и на базе RHEL .
sudo apt install rkhunter [On Debian systems]
sudo yum install rkhunter [On RHEL systems]
Чтобы проверить ваш сервер с помощью rkhunter, выполните следующую команду.
sudo rkhunter -c
Чтобы автоматически запускать rkhunter каждую ночь, добавьте следующую запись в cron, которая будет запускаться в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email
4. ClamAV – набор инструментов антивирусного программного обеспечения
ClamAV — это универсальный, популярный и кроссплатформенный антивирусный механизм с открытым исходным кодом, предназначенный для обнаружения вирусов, вредоносных программ, троянов и других вредоносных программ на компьютере.
Это одна из лучших бесплатных антивирусных программ для Linux и стандарт с открытым исходным кодом для программного обеспечения для сканирования почтовых шлюзов, который поддерживает практически все форматы почтовых файлов.
Он поддерживает обновления вирусных баз во всех системах и сканирование при доступе только в Linux. Кроме того, он может сканировать архивы и сжатые файлы и поддерживает такие форматы, как Zip, Tar, 7Zip и Rar, а также другие функции.
ClamAV можно установить с помощью следующей команды в системах на базе Debian.
sudo apt install clamav
ClamAV можно установить с помощью следующей команды в системах на базе RHEL.
sudo yum -y update
sudo -y install clamav
После установки вы можете обновить подписи и сканировать каталог с помощью следующих команд.
freshclam
sudo clamscan -r -i DIRECTORY
Где КАТАЛОГ — это место для сканирования. Опции -r
означают рекурсивное сканирование, а -i
означают отображение только зараженных файлов.
5. LMD – обнаружение вредоносного ПО для Linux
LMD (Linux Malware Detect) — это мощный и полнофункциональный сканер вредоносных программ с открытым исходным кодом для Linux, специально разработанный и предназначенный для общих размещенных сред, но может использоваться для обнаружения угроз в любой системе Linux. Его можно интегрировать с механизмом сканера ClamAV для повышения производительности.
Он предоставляет полную систему отчетов для просмотра текущих и предыдущих результатов сканирования, поддерживает отчеты по электронной почте после каждого сканирования и многие другие полезные функции.
Подробнее об установке и использовании LMD читайте в нашей статье Как установить LMD с ClamAV в качестве антивирусного механизма в Linux.
На данный момент это все! В этой статье мы поделились списком из 5 инструментов для сканирования сервера Linux на наличие вредоносных программ и руткитов. Дайте нам знать ваши мысли в разделе комментариев.