931 профессионал IT в этом Telegram чате. “ы с нами?

5 инструментов дл€ сканировани€ Linux-сервера

на наличие вредоносных программ и руткитов

ћерион Ќетворкс

6 минут чтени€

Ќа сервера с системами семейства Linux всегда направлен большой уровень атак и сканировани€ портов ¬ то врем€ как правильно настроенный фаервол и регул€рные обновлени€ системы безопасности добавл€ют дополнительный уровень безопасности системы, вы также должны следить, не смог ли кто-нибудь пробратьс€ через них.

»нструменты, представленные в этой статье, созданы дл€ этих проверок безопасности и могут идентифицировать вирусы, вредоносные программы, руткиты и вредоносные поведени€. ¬ы можете использовать эти инструменты дл€ регул€рного сканировани€ системы, например, каждую ночь и отправл€ть отчеты на ваш электронный адрес.

5 Tools to Scan a Linux Server for Malware and Rootkits

Lynis Ц Security Auditing and Rootkit Scanner

Lynis - это бесплатный, мощный и попул€рный инструмент с открытым исходным кодом дл€ аудита и сканировани€ безопасности дл€ операционных систем Unix или Linux. Ёто средство сканировани€ на наличие вредоносных программ и обнаружени€ у€звимостей, которое сканирует системы на наличие информации и проблем безопасности, целостности файлов, ошибок конфигурации; выполн€ет аудит брандмауэра, провер€ет установленное программное обеспечение, права доступа к файлам и каталогам, а также многое другое.

¬ажно отметить, что он не выполн€ет автоматическое усиление защиты системы, однако просто дает предложени€, позвол€ющие повысить уровень защиты вашего сервера.

ћы установим Lynis (верси€ 2.6.6) из исходных кодов, использу€ следующие команды.

# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

“еперь вы можете выполнить сканирование вашей системы с помощью команды ниже:

# lynis audit system
Initializing program
- Detecting OS...		[DONE]
- Checking profiles...	 	[DONE]
Program version:		2.6.6
Operating system:		Linux
Operating system name:	CentOS
Operating system version: 	CentOS Linux release 7.4.1708 (Core)
Kernel version:			4.17.6
Hardware platform:		x86_64
Hostname:			merionet
Profiles:			/usr/local/lynis/default.prf
Log file:				/var/log/lynis.log
Report file:			/var/log/lynis-report.dat
Report version:			1.0
Plugin directory:		/usr/local/lynis/plugins
Auditor:			[Not Specified]
Language:			en
Test category:			all
Test group:			all
- Program update status...	[NO UPDATE]

„тобы запускать Lynis автоматически каждую ночь, добавьте следующую запись cron, котора€ будет запускатьс€ в 3 часа ночи и отправл€ть отчеты на ваш адрес электронной почты.

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" you@yourdomain.com

Chkrootkit Ц A Linux Rootkit Scanners

Chkrootkit - это еще один бесплатный детектор руткитов с открытым исходным кодом, который локально провер€ет наличие признаков руткита в Unix-подобных системах. ќн помогает обнаружить скрытые дыры в безопасности. ѕакет chkrootkit состоит из сценари€ оболочки, который провер€ет системные двоичные файлы на наличие изменений руткита, и р€да программ, которые провер€ют различные проблемы безопасности.

—редство chkrootkit можно установить с помощью следующей команды в системах на основе Debian:

$ sudo apt install chkrootkit

¬ системах на базе CentOS вам необходимо установить его из источников, использу€ следующие команды:

# yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar Цxzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense

„тобы проверить ваш сервер с помощью Chkrootkit, выполните следующую команду:

$ sudo chkrootkit 
»ли
# /usr/local/chkrootkit/chkrootkit

ѕосле запуска начнетс€ проверка вашей системы на наличие известных вредоносных программ и руткитов, а после завершени€ процесса вы сможете увидеть отчет.

„тобы запускать Chkrootkit автоматически каждую ночь, добавьте следующую запись cron, котора€ будет запускатьс€ в 3 часа ночи, и отправл€йте отчеты на ваш адрес электронной почты.

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com

Rkhunter Ц A Linux Rootkit Scanners

RKH (RootKit Hunter) - это бесплатный, мощный, простой в использовании и хорошо известный инструмент с открытым исходным кодом дл€ сканировани€ бэкдоров, руткитов и локальных эксплойтов в POSIX-совместимых системах, таких как Linux.  ак следует из названи€, это средство дл€ обнаружени€ руткитов, мониторинга и анализа безопасности, которое тщательно провер€ет систему на наличие скрытых дыр в безопасности.

»нструмент rkhunter можно установить с помощью следующей команды в системах на основе Ubuntu и CentOS

$ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter

„тобы проверить ваш сервер с помощью rkhunter, выполните следующую команду.

# rkhunter -c

„тобы запускать rkhunter автоматически каждую ночь, добавьте следующую запись cron, котора€ будет работать в 3 часа ночи и отправл€ть отчеты на ваш адрес электронной почты.

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com

ClamAV Ц Antivirus Software Toolkit

ClamAV - это универсальный, попул€рный и кроссплатформенный антивирусный движок с открытым исходным кодом дл€ обнаружени€ вирусов, вредоносных программ, тро€нов и других вредоносных программ на компьютере. Ёто одна из лучших бесплатных антивирусных программ дл€ Linux и стандарт с открытым исходным кодом дл€ сканировани€ почтового шлюза, который поддерживает практически все форматы почтовых файлов.

ќн поддерживает обновлени€ вирусных баз во всех системах и проверку при доступе только в Linux.  роме того, он может сканировать архивы и сжатые файлы и поддерживает такие форматы, как Zip, Tar, 7Zip, Rar и многие другие.

ClamAV можно установить с помощью следующей команды в системах на основе Debian:

$ sudo apt-get install clamav

ClamAV можно установить с помощью следующей команды в системах на базе CentOS:

# yum -y update
# yum -y install clamav

ѕосле установки вы можете обновить сигнатуры и отсканировать каталог с помощью следующих команд.

# freshclam
# clamscan -r -i DIRECTORY

√де DIRECTORY - это место дл€ сканировани€. ќпци€ -r означает рекурсивное сканирование, а -i - показать только зараженные файлы.


LMD Ц Linux Malware Detect

LMD (Linux Malware Detect) - это мощный и полнофункциональный сканер вредоносных программ дл€ Linux с открытым исходным кодом, специально разработанный и предназначенный дл€ общедоступных сред, но его можно использовать дл€ обнаружени€ угроз в любой системе Linux. ќн может быть интегрирован с модулем сканера ClamAV дл€ повышени€ производительности.

ќн предоставл€ет полную систему отчетов дл€ просмотра текущих и предыдущих результатов сканировани€, поддерживает оповещени€ по электронной почте после каждого выполнени€ сканировани€ и многие другие полезные функции.

LMD недоступен в онлайн-хранилищах, но распростран€етс€ в виде тарбола с веб-сайта проекта. “арбол, содержащий исходный код последней версии, всегда доступен по следующей ссылке, где его можно скачать с помощью:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

«атем нам нужно распаковать архив и войти в каталог, в который было извлечено его содержимое. “ам мы найдем установочный скрипт install.sh

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect

ƒалее запускаем скрипт

# ./install.sh

Ќа этом пока все! ¬ этой статье мы поделились списком из 5 инструментов дл€ сканировани€ сервера Linux на наличие вредоносных программ и руткитов.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: