Серверные решения →Linux/Unix

5 инструментов для сканирования Linux-сервера

на наличие вредоносных программ и руткитов

Июль 01, 2019 Мерион Нетворкс

6 минут

На сервера с системами семейства Linux всегда направлен большой уровень атак и сканирования портов В то время как правильно настроенный фаервол и регулярные обновления системы безопасности добавляют дополнительный уровень безопасности системы, вы также должны следить, не смог ли кто-нибудь пробраться через них.

Linux

Бесплатный вводный урок на онлайн курс по Linux

Мы собрали концентрат самых востребованных знаний, которые позволят начать карьеру администраторов Linux, расширить текущие знания и сделать уверенный шаг в DevOps

Начни обучение бесплатно

Инструменты, представленные в этой статье, созданы для этих проверок безопасности и могут идентифицировать вирусы, вредоносные программы, руткиты и вредоносные поведения. Вы можете использовать эти инструменты для регулярного сканирования системы, например, каждую ночь и отправлять отчеты на ваш электронный адрес.

Lynis – Security Auditing and Rootkit Scanner

Lynis - это бесплатный, мощный и популярный инструмент с открытым исходным кодом для аудита и сканирования безопасности для операционных систем Unix или Linux. Это средство сканирования на наличие вредоносных программ и обнаружения уязвимостей, которое сканирует системы на наличие информации и проблем безопасности, целостности файлов, ошибок конфигурации; выполняет аудит брандмауэра, проверяет установленное программное обеспечение, права доступа к файлам и каталогам, а также многое другое.

Важно отметить, что он не выполняет автоматическое усиление защиты системы, однако просто дает предложения, позволяющие повысить уровень защиты вашего сервера.

Мы установим Lynis (версия 2.6.6) из исходных кодов, используя следующие команды.

# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Теперь вы можете выполнить сканирование вашей системы с помощью команды ниже:

# lynis audit system

Initializing program
- Detecting OS...		[DONE]
- Checking profiles...	 	[DONE]
Program version:		2.6.6
Operating system:		Linux
Operating system name:	CentOS
Operating system version: 	CentOS Linux release 7.4.1708 (Core)
Kernel version:			4.17.6
Hardware platform:		x86_64
Hostname:			merionet
Profiles:			/usr/local/lynis/default.prf
Log file:				/var/log/lynis.log
Report file:			/var/log/lynis-report.dat
Report version:			1.0
Plugin directory:		/usr/local/lynis/plugins
Auditor:			[Not Specified]
Language:			en
Test category:			all
Test group:			all
- Program update status...	[NO UPDATE]

Чтобы запускать Lynis автоматически каждую ночь, добавьте следующую запись cron, которая будет запускаться в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" you@yourdomain.com

Chkrootkit – A Linux Rootkit Scanners

Chkrootkit - это еще один бесплатный детектор руткитов с открытым исходным кодом, который локально проверяет наличие признаков руткита в Unix-подобных системах. Он помогает обнаружить скрытые дыры в безопасности. Пакет chkrootkit состоит из сценария оболочки, который проверяет системные двоичные файлы на наличие изменений руткита, и ряда программ, которые проверяют различные проблемы безопасности.

Средство chkrootkit можно установить с помощью следующей команды в системах на основе Debian:

$ sudo apt install chkrootkit

В системах на базе CentOS вам необходимо установить его из источников, используя следующие команды:

# yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense

Чтобы проверить ваш сервер с помощью Chkrootkit, выполните следующую команду:

$ sudo chkrootkit 
Или
# /usr/local/chkrootkit/chkrootkit

После запуска начнется проверка вашей системы на наличие известных вредоносных программ и руткитов, а после завершения процесса вы сможете увидеть отчет.

Чтобы запускать Chkrootkit автоматически каждую ночь, добавьте следующую запись cron, которая будет запускаться в 3 часа ночи, и отправляйте отчеты на ваш адрес электронной почты.

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com

Rkhunter – A Linux Rootkit Scanners

RKH (RootKit Hunter) - это бесплатный, мощный, простой в использовании и хорошо известный инструмент с открытым исходным кодом для сканирования бэкдоров, руткитов и локальных эксплойтов в POSIX-совместимых системах, таких как Linux. Как следует из названия, это средство для обнаружения руткитов, мониторинга и анализа безопасности, которое тщательно проверяет систему на наличие скрытых дыр в безопасности.

Инструмент rkhunter можно установить с помощью следующей команды в системах на основе Ubuntu и CentOS

$ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter

Чтобы проверить ваш сервер с помощью rkhunter, выполните следующую команду.

# rkhunter -c

Чтобы запускать rkhunter автоматически каждую ночь, добавьте следующую запись cron, которая будет работать в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com

ClamAV – Antivirus Software Toolkit

ClamAV - это универсальный, популярный и кроссплатформенный антивирусный движок с открытым исходным кодом для обнаружения вирусов, вредоносных программ, троянов и других вредоносных программ на компьютере. Это одна из лучших бесплатных антивирусных программ для Linux и стандарт с открытым исходным кодом для сканирования почтового шлюза, который поддерживает практически все форматы почтовых файлов.

Он поддерживает обновления вирусных баз во всех системах и проверку при доступе только в Linux. Кроме того, он может сканировать архивы и сжатые файлы и поддерживает такие форматы, как Zip, Tar, 7Zip, Rar и многие другие.

ClamAV можно установить с помощью следующей команды в системах на основе Debian:

$ sudo apt-get install clamav

ClamAV можно установить с помощью следующей команды в системах на базе CentOS:

# yum -y update
# yum -y install clamav

После установки вы можете обновить сигнатуры и отсканировать каталог с помощью следующих команд.

# freshclam
# clamscan -r -i DIRECTORY

Где DIRECTORY - это место для сканирования. Опция -r означает рекурсивное сканирование, а -i - показать только зараженные файлы.

LMD – Linux Malware Detect

LMD (Linux Malware Detect) - это мощный и полнофункциональный сканер вредоносных программ для Linux с открытым исходным кодом, специально разработанный и предназначенный для общедоступных сред, но его можно использовать для обнаружения угроз в любой системе Linux. Он может быть интегрирован с модулем сканера ClamAV для повышения производительности.

Он предоставляет полную систему отчетов для просмотра текущих и предыдущих результатов сканирования, поддерживает оповещения по электронной почте после каждого выполнения сканирования и многие другие полезные функции.

LMD недоступен в онлайн-хранилищах, но распространяется в виде тарбола с веб-сайта проекта. Тарбол, содержащий исходный код последней версии, всегда доступен по следующей ссылке, где его можно скачать с помощью:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Затем нам нужно распаковать архив и войти в каталог, в который было извлечено его содержимое. Там мы найдем установочный скрипт install.sh

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect

Далее запускаем скрипт

# ./install.sh

На этом пока все! В этой статье мы поделились списком из 5 инструментов для сканирования сервера Linux на наличие вредоносных программ и руткитов.