不斷有高攻擊和對Linux伺服器的端口掃描,這些都是常見的攻擊手法,因此妥善設置防火牆和定期更新安全系統都能為系統增加額外的保護層,但你也應經常關注是否有人入侵。這也有助於確保您的伺服器不受任何旨在破壞其正常運作的程序的影響。
本文介紹的工具專為進行這些安全掃描而設計,它們能夠識別病毒、惡意軟體、Rootkits和惡意行為。您可以使用這些工具定期進行系統掃描,例如每晚,並將報告發送到您的電子郵件地址。
1. Lynis – 安全稽核和 Rootkit 掃描器
Lynis 是一個免費、開源、功能強大且受歡迎的安全稽核和掃描工具,適用於類Unix/Linux作業系統。它是一個恶意軟體掃描和漏洞檢測工具,可掃描系統以獲取安全信息和問題,文件完整性,配置錯誤;執行防火牆稽核,檢查已安裝的軟體,文件/目錄權限等等。
重要的是,它並不自動執行任何系統加固,但它僅僅提供建議,使您能夠加固您的伺服器。
我們將從源代碼安裝最新版本的Lynis(即3.0.9),使用以下命令。
cd /opt/ sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz sudo tar xvzf lynis-3.0.9.tar.gz sudo mv lynis /usr/local/ sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
現在您可以使用以下命令進行系統掃描。
sudo lynis audit system
為了讓lynis每晚自動運行,請添加以下cron條目,它將在凌晨3點運行並將報告發送到您的電子郵件地址。
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email protected]
2. Chkrootkit – Linux Rootkit掃描器
Chkrootkit也是另一個免費的、開源的rootkit檢測器,它在類Unix系統上本地檢查rootkit的跡象。它有助於檢測隱藏的安全漏洞。
chkrootkit套件包括一個shell腳本,用於檢查系統二進制文件的rootkit修改,以及一些用於檢查各種安全問題的程序。
在基於Debian的系統上,可以使用以下命令安裝chkrootkit工具。
sudo apt install chkrootkit
在以RHEL為基礎的系統上,您需要從源代碼進行安裝,使用以下命令。
sudo yum update sudo yum install wget gcc-c++ glibc-static sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz sudo tar –xzf chkrootkit.tar.gz sudo mkdir /usr/local/chkrootkit sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit cd /usr/local/chkrootkit sudo make sense
要使用Chkrootkit檢查您的服務器,請運行以下命令。
sudo chkrootkit OR sudo /usr/local/chkrootkit/chkrootkit
一旦運行,它將開始檢查您的系統是否存在已知的惡意軟件和Rootkit,並在過程結束後,您可以看到報告的摘要。
要在每晚自動運行Chkrootkit,添加以下cron條目,該條目將在凌晨3點運行並將報告發送到您的電子郵件地址。
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email protected]
3. Rkhunter – 一個Linux Rootkit掃描器
RootKit Hunter是一個免費、開源、功能強大、使用簡單且廣為人知的工具,用於在Linux等POSIX兼容系統上掃描後門、Rootkit和本地漏洞。
顧名思義,它是一個Rootkit獵手,一個安全監控和分析工具,可以徹底檢查系統以檢測隱藏的安全漏洞。
在rkhunter工具可以使用以下命令在Ubuntu和以RHEL為基礎的系統上進行安裝。
sudo apt install rkhunter [On Debian systems] sudo yum install rkhunter [On RHEL systems]
要使用rkhunter檢查您的服務器,請運行以下命令。
sudo rkhunter -c
要在每晚自動運行rkhunter,添加以下cron條目,該條目將在凌晨3點運行並將報告發送到您的電子郵件地址。
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email protected]
4. ClamAV – 防毒軟體工具包
ClamAV 是一個開源、多功能、廣受歡迎且跨平台的防毒引擎,用於偵測電腦上的病毒、惡意軟體、木馬和其他惡意程式。
它是 Linux 上最佳免費防毒程式之一,也是幾乎支持所有郵件文件格式的郵件網關掃描軟體的開源標準。
它支持所有系統的病毒數據庫更新,僅在 Linux 上支持即時掃描。此外,它可以掃描檔案和壓縮文件,並支持Zip、Tar、7Zip、Rar等格式以及其他功能。
ClamAV 可以在基於 Debian 的系統上使用以下命令進行安裝。
sudo apt install clamav
ClamAV 可以在 RHEL 系統上使用以下命令進行安裝。
sudo yum -y update sudo -y install clamav
安裝完成後,您可以使用以下命令更新簽名並掃描目錄。
# freshclam sudo clamscan -r -i DIRECTORY
其中 DIRECTORY 是掃描位置。選項 -r 表示遞歸掃描,而 -i 表示僅顯示受感染的文件。
5. LMD – Linux Malware Detect
LMD (Linux Malware Detect) 是一款專為 Linux 設計的開源、功能強大且全面的惡意軟體掃描器,特別針對共享主機環境,但也可以用於檢測任何 Linux 系統上的威脅。它可以與 ClamAV 掃描引擎集成,以提高性能。
它提供了一個完整的報告系統來查看當前和以前的掃描結果,支持在每次掃描執行後通過電子郵件發送警報報告,以及許多其他有用的功能。
有關 LMD 的安裝和使用,請閱讀我們的文章 如何在 Linux 中安裝帶有 ClamAV 作為防病毒引擎的 LMD。
這就是全部內容!在本文中,我們分享了一份用於掃描 Linux 服務器上的惡意軟體和 rootkits 的 5 種工具列表。請在評論部分分享您的想法。
Source:
https://www.tecmint.com/scan-linux-for-malware-and-rootkits/