۵ ابزار برای شناسایی بدافزار و روت کیت ها در لینوکس

حملات سطح بالا و بارگیری پورت ها در سرورهای لینوکس برای همیشه وجود دارد , در حالی که دیوار آتش به درستی پیکر بندی شده و به روز رسانی های منظم امنیتی آن , یک لایه اضافی برای حفظ امنیت سیستم اضافه می کند , اما شما باید به طور مرتب سیستم را چک کنید تا اطمینان حاصل شود که سرور شما از هر برنامه ای که هدف آن خراب کردن عملکرد نرمال آن است، آزاد باشد.

ابزارهای ارائه شده در این نوشته برای شناسایی امنیتی ایجاد شده است و می توانند هویت ویروس , بدافزارها , روت کیت ها (رد گم کن) و رفتارهای مخرب آن شناسایی کند.شما می توانید از این ایزارها به طور مرتب سیستم ها را شناسایی کنید و گزارش های آن هنگام شناسایی سیستم ها به ایمیل شما ارسال گردد.

۱. Lynis رسیدگی امنیتی و شناسایی روت کیت ها (رد گم کن)

Lynis رایگان , متن باز , قدرتمند رسیدگی و شناسایی برای سیستم عامل یونیکس و لینوکس است. این یک ابزار شناسایی آسیب پذیری های مخرب است که سیستم ها را برای اطلاعات و مسائل امنیتی، سیستم های یکپارچگی، خطاهای پیکربندی شناسایی می کند و به رسیدگی دیوار آتش، چک نصب نرم افزار، فایل ها / راهنمای مجوز و دیگر انجام می دهد.

برای نصب Lynis دستورات زیر را به ترتیب در ترمینال وارد و نصب کنید:

cd /opt/
wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
tar xvzf lynis-2.6.6.tar.gz
mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

برای اجرای ابزار Lynis دستور زیر را در ترمینال وارد کنید :

lynis audit system

در دستور زیر می توانید برای اجرای Lynis در هر شب ساعت ۳ صبح را در ورودی cron زیر اضافه کنید و یک ایمیل برای دریافت گرازش های ابزار Lynis وارد کنید:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" you@yourdomain.com

 

۲. Chkrootkit – شناسایی روت کیت ها (رد گم کن) در لینوکس

Chkrootkit همچنین یکی دیگر از آشکارسازهای روت کیت (رد گم کن) است که به صورت محلی برای نشانه های یک روت کیت در سیستم های یونیکس چک می کند. این به تشخیص سوراخ های امنیتی پنهان کمک می کند. بسته chkrootkit شامل یک اسکریپت پوسته است که باینری سیستم را برای اصلاح روت کیت و تعدادی از برنامه هایی که مسائل امنیتی مختلف را بررسی می کنند.


ابزار chkrootkit را می توان با استفاده از دستور زیر بر روی سیستم های مبتنی بر دبیان نصب کرد.

sudo apt install chkrootkit

در سیستم های مبتنی بر سنت او اس :

yum update
yum install wget gcc-c++ glibc-static
wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar –xzf chkrootkit.tar.gz
mkdir /usr/local/chkrootkit
mv chkrootkit-0.52/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
make sense

برای اجرای Chkrootkit دستور زیر را وارد کنید:

sudo chkrootkit 
OR
/usr/local/chkrootkit/chkrootkit

پس از اجرا، شروع به چک کردن سیستم شما برای بدافزارها و روت کیت های شناخته شده می کند و پس از اتمام فرآیند، می توانید خلاصه گزارش را مشاهده کنید.

با Chkrootkit می توانید شروع چک سیستم هر شب ساعت ۳ صبح اعمال کنید و ایمیل خود را برای دریافت گزارش ها وارد کنید:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com

 

۳. Rkhunter – شناسایی روت کیت (رد گم کن) در لینوکس

RKH (RootKit Hunter) رایگان، متن باز، قدرتمند، ساده برای شناسایی پنهان، روت کیت ها و سوء استفاده های محلی در سیستم های سازگار با POSIX مانند لینوکس است. همانطور که از نامش بر می آید، این یک شکارچی روت کیت (رد گم کن)، نظارت امنیتی و ابزار تجزیه و تحلیل است که کاملا سیستم را برای تشخیص سوراخ های امنیتی پنهان بازرسی می کند.

برای نصب در سیستم مبتنی بر اوبونتو و سنت او اس دستورات زیر را در ترمینال وارد کنید:

sudo apt install rkhunter
yum install epel-release
yum install rkhunter

برای اجرای rkhunter دستور زیر را در ترمینال وارد کنید:

rkhunter -c

همانند بالا برای شروع چک سیستم هر شب ساعت ۳ صبح اعمال کنید و ایمیل خود را برای دریافت گزارش ها وارد کنید:

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com

 

۴. ClamAV – ابزار آنتی ویروس

ClamAV متن باز ،انعطاف پذیر، موتور همه کاره، محبوب و متقابل پلت فرم آنتی ویروس برای شناسایی ویروس ها، نرم افزارهای مخرب، تروجان ها و دیگر برنامه های مخرب در کامپیوتر است. این یکی از بهترین برنامه های ضد ویروس رایگان برای لینوکس و استاندارد متن باز است. این نرم افزار شناسایی پنهان است که تقریبا تمامی فرمت های ایمیل را پشتیبانی می کند.

دارای پشتیبانی از بروزرسانی پایگاه داده های ویروس در تمام سیستم ها و دسترسی به شناسایی در لینوکس است. علاوه بر این، می تواند در داخل بایگانی ها و فایل های فشرده شناسایی کند و از فرمت هایی همچون Zip، Tar، 7Zip، Rar و دیگر ویژگی های دیگر پشتیبانی می کند.

نصب در سیستم های مبتنی بر دیبان :

sudo apt-get install clamav

نصب در سیستم های مبتنی بر سنت او اس :

yum -y update
yum -y install clamav

پس از نصب برای شناسایی دستور زیر را در ترمینال وارد کنید:

freshclam
clamscan -r -i DIRECTORY

جایی که DIRECTORY مکان شناسایی است گزینه -r به معنای بازگشت مجدد به شناسایی است و -i به معنای نشان دادن پرونده های آلوده است.

 

۵. LMD – تشخیص بدافزار لینوکس

LMD (تشخیص بدافزار لینوکس) یک متن باز شناسایی قدرتمند برای لینوکس است که به طور خاص در محیط های میزبانی مشترک طراحی شده و هدف قرار گرفته است اما می تواند برای شناسایی تهدیدها در هر سیستم لینوکس استفاده شود. این می تواند با موتور شناسایی ClamAV برای عملکرد بهتر یکپارچه شود.

این سیستم کامل گزارش را برای مشاهده نتایج شناسایی قبلی و فعلی، پشتیبانی از گزارش هشدار ایمیل پس از هر اجرای شناسایی و بسیاری از ویژگی های مفید دیگر را فراهم می کند.

نصب در سیستم های مبتنی بر RHEL, CentOS ,Fedora :

دستورات زیر را به ترتیب در ترمینال وارد کنید

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
./install.sh

موفق باشید.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *