Сканирование Linux-сервера на наличие вредоносного ПО и руткитов

На Linux-серверы постоянно совершаются атаки и сканирование портов, а правильно настроенный брандмауэр и регулярные обновления системы безопасности добавляют дополнительный слой, обеспечивающий безопасность системы, но при этом необходимо часто следить за тем, не проникает ли кто внутрь. Это также поможет гарантировать, что ваш сервер останется свободным от любых программ, направленных на нарушение его нормальной работы.

Представленные в этой статье инструменты созданы именно для такого сканирования системы безопасности и способны выявлять вирусы, вредоносные программы, руткиты и вредоносное поведение. С помощью этих инструментов можно проводить регулярное сканирование системы, например, каждую ночь, и отправлять отчеты на свой электронный адрес.

1. Lynis — Аудит безопасности и сканер руткитов

Lynis — бесплатный, мощный и популярный инструмент аудита и сканирования системы безопасности для Unix/Linux-подобных операционных систем с открытым исходным кодом. Это инструмент для поиска вредоносных программ и уязвимостей, который сканирует системы на наличие информации и проблем безопасности, целостности файлов, ошибок конфигурации; выполняет аудит брандмауэра, проверяет установленное программное обеспечение, права доступа к файлам/директориям и многое другое.

Важно отметить, что он не выполняет автоматическое усиление системы, а просто предлагает рекомендации, которые позволяют усилить защиту сервера.

Мы установим последнюю версию Lynis (т.е. 3.0.9) из исходных текстов, используя следующие команды.

cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Теперь можно выполнить сканирование системы с помощью приведенной ниже команды.

sudo lynis audit system

Чтобы сделать запуск lynis автоматическим каждую ночь, добавьте следующую запись cron, которая будет запускаться в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email protected]

2. Chkrootkit — сканер руткитов для Linux

Chkrootkit — еще один бесплатный детектор руткитов с открытым исходным кодом, который локально проверяет наличие признаков руткита на Unix-подобных системах. Он помогает обнаружить скрытые бреши в системе безопасности.

Пакет chkrootkit состоит из сценария оболочки, проверяющего системные двоичные файлы на наличие модификации руткита, и ряда программ, проверяющих различные проблемы безопасности.

В системах на базе Debian инструмент chkrootkit может быть установлен с помощью следующей команды.

sudo apt install chkrootkit

В системах на базе RHEL его необходимо установить из исходных текстов с помощью следующих команд.

sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense

Для проверки сервера с помощью Chkrootkit выполните следующую команду.

sudo chkrootkit 
OR
sudo /usr/local/chkrootkit/chkrootkit

После запуска программа начнет проверку системы на наличие известных вредоносных программ и Rootkits, а по окончании процесса можно просмотреть сводный отчет.

Чтобы автоматически запускать Chkrootkit каждую ночь, добавьте следующую запись cron, которая будет запускаться в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email protected]

3. Rkhunter — сканер руткитов для Linux

RootKit Hunter — это бесплатный, с открытым исходным кодом, мощный, простой в использовании и хорошо известный инструмент для сканирования бэкдоров, руткитов и локальных эксплойтов в POSIX-совместимых системах, таких как Linux.

Как следует из названия, это «охотник за руткитами», инструмент мониторинга и анализа безопасности, который тщательно проверяет систему на предмет обнаружения скрытых брешей в защите.

Инструмент rkhunter может быть установлен с помощью следующей команды в системах на базе Ubuntu и RHEL.

sudo apt install rkhunter   [On Debian systems]
sudo yum install rkhunter   [On RHEL systems] 

Для проверки сервера с помощью rkhunter выполните следующую команду.

sudo rkhunter -c

Чтобы автоматически запускать rkhunter каждую ночь, добавьте следующую запись cron, которая будет запускаться в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email protected]

4. ClamAV — набор инструментов для работы с антивирусными программами

ClamAV — универсальный, популярный и кроссплатформенный антивирусный движок с открытым исходным кодом для обнаружения вирусов, вредоносных программ, троянов и других вредоносных программ на компьютере.

Это одна из лучших бесплатных антивирусных программ для Linux и стандарт с открытым исходным кодом для программ сканирования почтовых шлюзов, поддерживающий практически все форматы почтовых файлов.

Поддерживает обновление вирусных баз на всех системах и сканирование по доступу только в Linux. Кроме того, он может сканировать внутри архивов и сжатых файлов и поддерживает такие форматы, как Zip, Tar, 7Zip, Rar и другие, а также другие возможности.

ClamAV может быть установлен с помощью следующей команды на системах на базе Debian.

sudo apt install clamav

В системах на базе RHEL ClamAV может быть установлен с помощью следующей команды.

sudo yum -y update
sudo -y install clamav

После установки можно обновить сигнатуры и просканировать каталог с помощью следующих команд.

# freshclam
sudo clamscan -r -i DIRECTORY

Где DIRECTORY — местоположение для сканирования. Опции -r означают рекурсивное сканирование, а -i — показ только зараженных файлов.

5. LMD — Linux Malware Detect

LMD (Linux Malware Detect) — это мощный и полнофункциональный сканер вредоносных программ для Linux с открытым исходным кодом, специально разработанный и ориентированный на среды с общим хостингом, но может быть использован для обнаружения угроз на любой Linux-системе. Для повышения производительности он может быть интегрирован со сканером ClamAV.

В нем реализована система отчетов, позволяющая просматривать текущие и предыдущие результаты сканирования, поддерживается отправка уведомлений по электронной почте после каждого выполнения сканирования и многие другие полезные функции.

Поделитесь с друзьями
Підписатися
Сповістити про
guest

0 комментариев
Вбудовані Відгуки
Переглянути всі коментарі
0
Ми любимо ваші думки, будь ласка, прокоментуйте.x