Поиск по сайту:

5 инструментов для сканирования Linux-сервера на наличие вредоносных программ и руткитов


На серверах Linux постоянно происходят интенсивные атаки и сканирование портов, а правильно настроенный брандмауэр и регулярные обновления системы безопасности добавляют дополнительный уровень для обеспечения безопасности системы, но вам также следует часто следить, не проникнет ли кто-нибудь в систему. также поможет гарантировать, что на вашем сервере не будет никаких программ, направленных на нарушение его нормальной работы.

Инструменты, представленные в этой статье, созданы для такого сканирования безопасности и способны выявлять вирусы, вредоносные программы, руткиты и вредоносные программы. поведение. Вы можете использовать эти инструменты для регулярного сканирования системы, например. каждую ночь и отправляйте отчеты на свой адрес электронной почты.

1. Lynis — аудит безопасности и сканер руткитов

Lynis — это бесплатный, мощный и популярный инструмент с открытым исходным кодом для аудита и сканирования безопасности для Unix/Linux-подобных операционных систем. Это инструмент сканирования вредоносных программ и обнаружения уязвимостей, который сканирует системы на предмет информации и проблем безопасности, целостности файлов, ошибок конфигурации; выполняет аудит брандмауэра, проверяет установленное программное обеспечение, права доступа к файлам/каталогам и многое другое.

Важно отметить, что он не выполняет никакого усиления защиты системы автоматически, а просто предлагает предложения, которые позволят вам усилить защиту вашего сервера.

Мы установим последнюю версию Lynis (т. е. 3.0.9) из исходных кодов, используя следующие команды.

cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Теперь вы можете выполнить сканирование системы с помощью команды ниже.

sudo lynis audit system

Чтобы lynis запускался автоматически каждую ночь, добавьте следующую запись в cron, которая будет запускаться в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email 

2. Chkrootkit — сканер руткитов Linux.

Chkrootkit — это еще один бесплатный детектор руткитов с открытым исходным кодом, который локально проверяет наличие признаков руткита в Unix-подобных системах. Это помогает обнаружить скрытые дыры в безопасности.

Пакет chkrootkit состоит из сценария оболочки, проверяющего системные двоичные файлы на наличие модификаций руткитов, и ряда программ, проверяющих различные проблемы безопасности.

Инструмент chkrootkit можно установить с помощью следующей команды в системах на базе Debian.

sudo apt install chkrootkit

В системах на базе RHEL вам необходимо установить его из исходников, используя следующие команды.

sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense

Чтобы проверить свой сервер с помощью Chkrootkit, выполните следующую команду.

sudo chkrootkit 
OR
sudo /usr/local/chkrootkit/chkrootkit

После запуска он начнет проверять вашу систему на наличие известных вредоносных программ и руткитов, и после завершения процесса вы сможете увидеть сводку отчета.

Чтобы автоматически запускать Chkrootkit каждую ночь, добавьте следующую запись cron, которая будет запускаться в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email 

3. Rkhunter – сканер руткитов Linux

RootKit Hunter — это бесплатный, мощный, простой в использовании и хорошо известный инструмент с открытым исходным кодом для сканирования бэкдоров, руткитов и локальных эксплойтов в POSIX-совместимых системах, таких как Linux.

Как следует из названия, это охотник за руткитами, инструмент мониторинга и анализа безопасности, который тщательно проверяет систему на предмет обнаружения скрытых дыр в безопасности.

Инструмент rkhunter можно установить с помощью следующей команды в системах Ubuntu и на базе RHEL .

sudo apt install rkhunter   [On Debian systems]
sudo yum install rkhunter   [On RHEL systems] 

Чтобы проверить ваш сервер с помощью rkhunter, выполните следующую команду.

sudo rkhunter -c

Чтобы автоматически запускать rkhunter каждую ночь, добавьте следующую запись в cron, которая будет запускаться в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email 

4. ClamAV – набор инструментов антивирусного программного обеспечения

ClamAV — это универсальный, популярный и кроссплатформенный антивирусный механизм с открытым исходным кодом, предназначенный для обнаружения вирусов, вредоносных программ, троянов и других вредоносных программ на компьютере.

Это одна из лучших бесплатных антивирусных программ для Linux и стандарт с открытым исходным кодом для программного обеспечения для сканирования почтовых шлюзов, который поддерживает практически все форматы почтовых файлов.

Он поддерживает обновления вирусных баз во всех системах и сканирование при доступе только в Linux. Кроме того, он может сканировать архивы и сжатые файлы и поддерживает такие форматы, как Zip, Tar, 7Zip и Rar, а также другие функции.

ClamAV можно установить с помощью следующей команды в системах на базе Debian.

sudo apt install clamav

ClamAV можно установить с помощью следующей команды в системах на базе RHEL.

sudo yum -y update
sudo -y install clamav

После установки вы можете обновить подписи и сканировать каталог с помощью следующих команд.

freshclam
sudo clamscan -r -i DIRECTORY

Где КАТАЛОГ — это место для сканирования. Опции -r означают рекурсивное сканирование, а -i означают отображение только зараженных файлов.

5. LMD – обнаружение вредоносного ПО для Linux

LMD (Linux Malware Detect) — это мощный и полнофункциональный сканер вредоносных программ с открытым исходным кодом для Linux, специально разработанный и предназначенный для общих размещенных сред, но может использоваться для обнаружения угроз в любой системе Linux. Его можно интегрировать с механизмом сканера ClamAV для повышения производительности.

Он предоставляет полную систему отчетов для просмотра текущих и предыдущих результатов сканирования, поддерживает отчеты по электронной почте после каждого сканирования и многие другие полезные функции.

Подробнее об установке и использовании LMD читайте в нашей статье Как установить LMD с ClamAV в качестве антивирусного механизма в Linux.

На данный момент это все! В этой статье мы поделились списком из 5 инструментов для сканирования сервера Linux на наличие вредоносных программ и руткитов. Дайте нам знать ваши мысли в разделе комментариев.