5 כלים לסריקת שרת Linux למלוואר ולרוקיטים

יש רמות קבועות של התקפים גבוהים וסריקות פורטים על שרתי Linux כל הזמן, בעוד שמערכת הגישה הנכונה עם מחסה ועדכונים רגילים למערכת הבטיחות מוסיפים שכבה נוספת כדי לשמור על המערכת בטוחה, אך עליך להסתכל לעתים קרובות על אם מישהו נכנס לתוךהיא. זה יעזור גם לוודא שהשרת שלך ישאר חסר בכל תוכנה שמנסה להפריע לפעולה הרגילה שלו.

הכלים האלה שמצגים במאמר מיועדים לסריקות הבטיחות האלה והם מסוגלים לזהות וירוסים, מולפים, מחבלים של שורש, והתנהגויות מודעים. ניתן להשתמש בכלים אלה לבצע סריקות מערכת רגילות, לדוגמה בלילה אחד, ולשלוח דוחות לכתובת הדוא״ל שלך.

1. Lynis – סריקן בדיקות בטיחות ורוטקיטים

Lynis הוא חינמי, כולל פתוח, כוח עיצובי ופופולרי סריקן לבדיקות בטיחות וסריקות עבור מערכות ההפעלה של Unix/Linux. זהו כלי סריקה וזיהוי מולפים וכוח זיהוי פגיעות שסריקה עבור מידע בטיחות ובעיות, איכות קבעה לקבצים, שגיאות הגדרות; מבצע בדיקות למחסה, בדוקה את התוכנות התקנוים, ההגישות לקבצים/תוך הדירוגים והרבה יותר.

חשוב לציין כי המערכת אינה מבצעת אוטומטית כל סוג של הגנה, אולם היא מציעה הצעות שמאפשרות לך להגן על השרת שלך.

נתקין את הגרסה האחרונה של Lynis (כלומר 3.0.9) מהמקורות, באמצעות הפקודות הבאות

cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

עכשיו אתה יכול לבצע סריקת המערכת שלך באמצעות הפקודה למטה

sudo lynis audit system

כדי להפעיל את lynis אוטומטית כל לילה, הוסף את הערך cron הבא, שירוץ ב שעה 3 בבוקר וישלח דוחות לכתובת הדוא"ל שלך

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email protected]

2. Chkrootkit – מחוללי Rootkit של Linux

Chkrootkit הוא גם כלי ניטור רוטקיט חינמי נוסף, קוד פתוח שבודק מקומית אחר סימני רוטקיט במערכות בדומה ליחידות Unix. הוא מסייע בזיהוי חורים באבטחה מוסתרים

חבילת chkrootkit מורכבת מסקריפט של של בשל שבודק תוכניות מערכת לשינויי רוטקיט ומספר תוכניות הבודקות לנושאים שונים בבטיחות

כלי ה chkrootkit ניתן להתקנה באמצעות הפקודה הבאה על מערכות בסיס דביאן.

sudo apt install chkrootkit

על מערכות RHEL-בסיסיות, אתה צריך להתקין אותו מהמקורות באמצעות הפקודות הבאות.

sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense

כדי לבדוק את השרת שלך עם Chkrootkit הרץ את הפקודה הבאה.

sudo chkrootkit 
OR
sudo /usr/local/chkrootkit/chkrootkit

ברגע שנרצה, זה יתחיל לבדוק את המערכת שלך לריביות ידועות ורוטקיטים ולאחר שהתהליך מסתיים, אפשר לראות את סיכום הדוח.

כדי להריץ Chkrootkit אוטומטית כל לילה, הוסף את הכניסה הקרונונית הבאה, שתרוץ בשלוש בלילה ותשלח דוחות לכתובת הדוא"ל שלך.

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email protected]

3. Rkhunter – סורקי רוטקיטים לינוקס

RootKit Hunter הוא כלי חופשי, פתוח, עוצמתי, פשוט לשימוש ומפורסם לסריקת חורים מאחוריים, רוטקיטים והפרכות מקומיות על מערכות קונפורמיות POSIX כמו לינוקס.

כפי שהשם מרמז, זה צייתן רוטקיטים, כלי ניטור וניתוח אבטחה שבודק באופן מעמיק מערכת כדי לזהות חורים אבטחה מוסתרים.

כלי rkhunter יכול להתקבל באמצעות הפקודה הבאה על Ubuntu ועל מערכות RHEL-בסיסיות.

sudo apt install rkhunter   [On Debian systems]
sudo yum install rkhunter   [On RHEL systems] 

כדי לבדוק את השרת שלך עם rkhunter הרץ את הפקודה הבאה.

sudo rkhunter -c

כדי להריץ rkhunter אוטומטית כל לילה, הוסף את הכניסה הקרונונית הבאה, שתרוץ בשלוש בלילה ותשלח דוחות לכתובת הדוא"ל שלך.

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email protected]

4. ClamAV – כלי תוכנה למערכת אנטי-וירוס

ClamAV היא מנוע אנטי-וירוס פתוח המקור, גמיש, פופולרי ומרובע המזהה וירוסים, רכיבי ממלאכות, טרורים ותוכנות רעות אחרות במחשב.

זהו אחד התוכנות האנטי-וירוס הטובות והחינמיות ביותר עבור Linux והסטנדרט הפתוח של המקור לסורג מייל שמסוגל לסרוק כמעט כל קובץ מייל.

הוא תומך בעדכון מסד הנתונים של הוירוסים בכל המערכות ובסריקה בזמן אמת רק ב-Linux. בנוסף, הוא יכול לסרוק בתוך ארכיונים וקבצים דחוסים ותומך בפורמטים כמו Zip, Tar, 7Zip, ו-Rar ועוד תכונות.

הClamAV יכול להתקבל באמצעות הפקודה הבאה על מערכות מבוססות Debian.

sudo apt install clamav

ה-ClamAV יכול להיתקל באמצעות הפקודה הבאה במערכות RHEL-based.

sudo yum -y update
sudo -y install clamav

לאחר התקנה, תוכל לעדכן את החתימות ולסרוק תיקייה באמצעות הפקודות הבאות.

# freshclam
sudo clamscan -r -i DIRECTORY

כאשר DIRECTORY הוא המיקום לסרוק. האפשרויות -r, משמעותם סריקה רקורסיבית וה- -i פירושו להצגה רק של קבצים נגועים.

5. LMD – Linux Malware Detect

LMD (Linux Malware Detect) היא תוכנה חופשית, עוצמתית ומלאה שמיועדת במיוחד לסריקת מלארים בלינוקס, במיוחד ממוקדת עבור סביבות משתכפלות, אך יכולה לשמש כדי לגלות איומים בכל מערכת לינוקס. ניתן לשלב אותה עם מנוע הסריקה ClamAV לשיפור ביצועים.

היא מספקת מערכת דו"חות מלאה לצפייה בתוצאות סריקות נוכחיות וקודמות, תומכת בדו"חות מייל מתוך כל ביצוע סריקה, ועוד תכונות שימושיות רבות.

לצורך התקנת LMD ושימוש, קרא את המאמר שלנו איך להתקין LMD עם ClamAV כמנוע אנטי-וירוס בלינוקס.

זה הכול עבור היום! במאמר זה, שיתפנו רשימה של 5 כלים לסרוק שרת לינוקס למלארים ורוטקיטים. ספרו לנו את מחשבותיכם בקטע התגובות.