5 strumenti per scansionare un server Linux alla ricerca di malware e rootkit
Ci sono costantemente livelli elevati di attacchi e scansioni delle porte sui server Linux, mentre un firewall adeguatamente configurato e aggiornamenti regolari del sistema di sicurezza aggiungono un ulteriore livello per mantenere il sistema sicuro, ma dovresti anche controllare frequentemente se qualcuno entra. aiutano anche a garantire che il tuo server rimanga libero da qualsiasi programma che mira a interromperne il normale funzionamento.
Gli strumenti presentati in questo articolo sono creati per queste scansioni di sicurezza e sono in grado di identificare virus, malware, rootkit e dannosi comportamenti. È possibile utilizzare questi strumenti per eseguire scansioni regolari del sistema, ad es. ogni notte e spedisci i rapporti al tuo indirizzo email.
1. Lynis – Controllo della sicurezza e scanner rootkit
Lynis è uno strumento di controllo e scansione della sicurezza gratuito, open source, potente e popolare per sistemi operativi simili a Unix/Linux. È uno strumento di scansione di malware e rilevamento di vulnerabilità che scansiona i sistemi per informazioni e problemi di sicurezza, integrità dei file, errori di configurazione; esegue il controllo del firewall, controlla il software installato, i permessi di file/directory e molto altro ancora.
È importante sottolineare che non esegue automaticamente alcun rafforzamento del sistema, ma offre semplicemente suggerimenti che consentono di rafforzare il server.
Installeremo l'ultima versione di Lynis (ovvero 3.0.9) dai sorgenti, utilizzando i seguenti comandi.
cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Ora puoi eseguire la scansione del sistema con il comando seguente.
sudo lynis audit system
Per eseguire lynis automaticamente ogni notte, aggiungi la seguente voce cron, che verrà eseguita alle 3:00 della notte e invierà i rapporti al tuo indirizzo email.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email
2. Chkrootkit: uno scanner per rootkit Linux
Chkrootkit è anche un altro rilevatore di rootkit gratuito e open source che verifica localmente la presenza di segni di rootkit su sistemi simili a Unix. Aiuta a rilevare buchi di sicurezza nascosti.
Il pacchetto chkrootkit consiste in uno script di shell che controlla i file binari del sistema per eventuali modifiche del rootkit e una serie di programmi che controllano vari problemi di sicurezza.
Lo strumento chkrootkit può essere installato utilizzando il seguente comando sui sistemi basati su Debian.
sudo apt install chkrootkit
Sui sistemi basati su RHEL, è necessario installarlo dai sorgenti utilizzando i seguenti comandi.
sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense
Per controllare il tuo server con Chkrootkit esegui il seguente comando.
sudo chkrootkit
OR
sudo /usr/local/chkrootkit/chkrootkit
Una volta eseguito, inizierà a verificare la presenza di malware e rootkit noti nel tuo sistema e al termine del processo potrai visualizzare il riepilogo del rapporto.
Per eseguire Chkrootkit automaticamente ogni notte, aggiungi la seguente voce cron, che verrà eseguita alle 3 di notte e invierà i report al tuo indirizzo email.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email
3. Rkhunter: uno scanner per rootkit Linux
RootKit Hunter è uno strumento gratuito, open source, potente, semplice da usare e ben noto per la scansione di backdoor, rootkit ed exploit locali su sistemi conformi a POSIX come Linux.
Come suggerisce il nome, si tratta di un cacciatore di rootkit, uno strumento di monitoraggio e analisi della sicurezza che ispeziona a fondo un sistema per rilevare buchi di sicurezza nascosti.
Lo strumento rkhunter può essere installato utilizzando il seguente comando sui sistemi Ubuntu e basati su RHEL.
sudo apt install rkhunter [On Debian systems]
sudo yum install rkhunter [On RHEL systems]
Per controllare il tuo server con rkhunter esegui il seguente comando.
sudo rkhunter -c
Per eseguire rkhunter automaticamente ogni notte, aggiungi la seguente voce cron, che verrà eseguita alle 3 di notte e invierà i report al tuo indirizzo email.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email
4. ClamAV – Kit di strumenti software antivirus
ClamAV è un motore antivirus open source, versatile, popolare e multipiattaforma per rilevare virus, malware, trojan e altri programmi dannosi su un computer.
È uno dei migliori programmi antivirus gratuiti per Linux e lo standard open source per il software di scansione del gateway di posta che supporta quasi tutti i formati di file di posta.
Supporta gli aggiornamenti del database dei virus su tutti i sistemi e la scansione in accesso solo su Linux. Inoltre, può eseguire la scansione di archivi e file compressi e supporta formati come Zip, Tar, 7Zip e Rar tra gli altri e altre funzionalità.
Il ClamAV può essere installato utilizzando il seguente comando sui sistemi basati su Debian.
sudo apt install clamav
Il ClamAV può essere installato utilizzando il seguente comando sui sistemi basati su RHEL.
sudo yum -y update
sudo -y install clamav
Una volta installato, puoi aggiornare le firme ed eseguire la scansione di una directory con i seguenti comandi.
freshclam
sudo clamscan -r -i DIRECTORY
Dove DIRECTORY è la posizione da scansionare. Le opzioni -r indicano la scansione ricorsiva e -i indicano che mostrano solo i file infetti.
5. LMD – Rilevamento malware Linux
LMD (Linux Malware Detect) è uno scanner di malware open source, potente e completo per Linux appositamente progettato e mirato ad ambienti ospitati condivisi, ma può essere utilizzato per rilevare minacce su qualsiasi sistema Linux. Può essere integrato con il motore di scansione ClamAV per prestazioni migliori.
Fornisce un sistema di reporting completo per visualizzare i risultati della scansione corrente e precedente, supporta la segnalazione degli avvisi via e-mail dopo ogni esecuzione della scansione e molte altre funzionalità utili.
Per l'installazione e l'utilizzo di LMD, leggi il nostro articolo Come installare LMD con ClamAV come motore antivirus in Linux.
È tutto per ora! In questo articolo, abbiamo condiviso un elenco di 5 strumenti per scansionare un server Linux alla ricerca di malware e rootkit. Fateci sapere i vostri pensieri nella sezione commenti.