Il y a constamment des niveaux élevés d’attaques et de balayages de ports sur les serveurs Linux tout le temps, tandis qu’un pare-feu bien configuré et des mises à jour régulières du système de sécurité ajoutent une couche supplémentaire pour maintenir le système en sécurité, mais vous devez également surveiller fréquemment si quelqu’un s’introduit. Cela aidera également à garantir que votre serveur reste exempt de tout programme visant à perturber son fonctionnement normal.
Les outils présentés dans cet article sont créés pour ces analyses de sécurité et ils sont capables d’identifier les virus, les logiciels malveillants, les rootkits et les comportements malveillants. Vous pouvez utiliser ces outils pour effectuer des analyses régulières du système, par exemple chaque nuit, et envoyer des rapports à votre adresse e-mail.
1. Lynis – Audit de sécurité et scanner de rootkits
Lynis est un outil d’audit de sécurité et de balayage gratuit, open-source, puissant et populaire pour les systèmes d’exploitation de type Unix/Linux. C’est un outil de détection de logiciels malveillants et de vulnérabilités qui analyse les systèmes à la recherche d’informations et de problèmes de sécurité, d’intégrité des fichiers, d’erreurs de configuration ; réalise des audits de pare-feu, vérifie les logiciels installés, les autorisations de fichiers/répertoires et bien plus encore.
Importamment, cela ne réalise pas automatiquement tout durcissement du système, cependant, il offre simplement des suggestions qui vous permettent de renforcer votre serveur.
Nous installerons la dernière version de Lynis (c.-à-d. 3.0.9) à partir des sources, en utilisant les commandes suivantes.
cd /opt/ sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz sudo tar xvzf lynis-3.0.9.tar.gz sudo mv lynis /usr/local/ sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Maintenant, vous pouvez effectuer votre balayage système avec la commande ci-dessous.
sudo lynis audit system
Pour exécuter lynis automatiquement chaque nuit, ajoutez l’entrée cron suivante, qui s’exécutera à 3 heures du matin et enverra des rapports à votre adresse e-mail.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email protected]
2. Chkrootkit – Un Scanner de Rootkit Linux
Chkrootkit est également un autre détecteur de rootkit gratuit et open source qui vérifie localement les signes d’un rootkit sur les systèmes de type Unix. Il aide à détecter les failles de sécurité cachées.
Le package chkrootkit se compose d’un script shell qui vérifie les binaires système pour les modifications de rootkit et d’un certain nombre de programmes qui vérifient divers problèmes de sécurité.
L’outil chkrootkit peut être installé en utilisant la commande suivante sur les systèmes basés sur Debian.
sudo apt install chkrootkit
Sur les systèmes basés sur RHEL, vous devez l’installer à partir des sources en utilisant les commandes suivantes.
sudo yum update sudo yum install wget gcc-c++ glibc-static sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz sudo tar –xzf chkrootkit.tar.gz sudo mkdir /usr/local/chkrootkit sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit cd /usr/local/chkrootkit sudo make sense
Pour vérifier votre serveur avec Chkrootkit, exécutez la commande suivante.
sudo chkrootkit OR sudo /usr/local/chkrootkit/chkrootkit
Une fois exécuté, il commencera à vérifier votre système pour détecter les malwares et Rootkits connus et, après la fin du processus, vous pourrez voir le résumé du rapport.
Pour exécuter Chkrootkit automatiquement chaque nuit, ajoutez l’entrée cron suivante, qui s’exécutera à 3 heures du matin et enverra les rapports à votre adresse e-mail.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email protected]
3. Rkhunter – Un scanner de Rootkit pour Linux
RootKit Hunter est un outil gratuit, open-source, puissant, simple à utiliser et bien connu pour scanner les portes dérobées, les rootkits et les exploits locaux sur les systèmes POSIX conformes tels que Linux.
Comme son nom l’indique, c’est un chasseur de rootkit, un outil de surveillance et d’analyse de sécurité qui inspecte méticuleusement un système pour détecter les trous de sécurité cachés.
L’outil rkhunter peut être installé en utilisant la commande suivante sur Ubuntu et les systèmes basés sur RHEL.
sudo apt install rkhunter [On Debian systems] sudo yum install rkhunter [On RHEL systems]
Pour vérifier votre serveur avec rkhunter, exécutez la commande suivante.
sudo rkhunter -c
Pour exécuter rkhunter automatiquement chaque nuit, ajoutez l’entrée cron suivante, qui s’exécutera à 3 heures du matin et enverra les rapports à votre adresse e-mail.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email protected]
4. ClamAV – Outil de logiciel antivirus
ClamAV est un moteur antivirus open-source, polyvalent, populaire et multiplateforme conçu pour détecter les virus, malwares, chevaux de Troie et autres programmes malveillants sur un ordinateur.
Il fait partie des meilleurs logiciels antivirus gratuits pour Linux et constitue la norme open-source pour le balayage des passerelles de messagerie, prenant en charge presque tous les formats de fichiers de messagerie.
Il permet les mises à jour de la base de données antivirus sur tous les systèmes et le balayage en accès direct uniquement sur Linux. De plus, il peut scanner à l’intérieur des archives et des fichiers compressés et prend en charge des formats tels que Zip, Tar, 7Zip, et Rar parmi d’autres, ainsi que d’autres fonctionnalités.
Le ClamAV peut être installé en utilisant la commande suivante sur les systèmes basés sur Debian.
sudo apt install clamav
Le ClamAV peut être installé en utilisant la commande suivante sur les systèmes basés sur RHEL.
sudo yum -y update sudo -y install clamav
Une fois installé, vous pouvez mettre à jour les signatures et scanner un répertoire avec les commandes suivantes.
# freshclam sudo clamscan -r -i DIRECTORY
Où RÉPERTOIRE est l’emplacement à scanner. Les options -r, signifient un balayage récursif et le -i signifie de ne montrer que les fichiers infectés.
5. LMD – Linux Malware Detect
LMD (Linux Malware Detect) est un scanner de malware open-source, puissant et entièrement équipé, spécifiquement conçu et ciblé pour les environnements partagés hébergés, mais peut être utilisé pour détecter les menaces sur n’importe quel système Linux. Il peut être intégré avec le ClamAV moteur de scanner pour une meilleure performance.
Il offre un système de rapport complet pour consulter les résultats des balayages actuels et précédents, prend en charge les alertes par e-mail après chaque exécution de balayage, et de nombreuses autres fonctionnalités utiles.
Pour l’installation et l’utilisation de LMD, lisez notre article Comment installer LMD avec ClamAV comme moteur antivirus sous Linux.
C’est tout pour l’instant! Dans cet article, nous avons partagé une liste de 5 outils pour scanner un serveur Linux pour les malwares et les rootkits. Faites-nous part de vos réflexions dans la section des commentaires.
Source:
https://www.tecmint.com/scan-linux-for-malware-and-rootkits/