11 công cụ quét máy chủ Linux để tìm lỗi bảo mật và phần mềm độc hại

Mặc dù các hệ thống dựa trên Linux thường được coi là không thể xuyên thủng, vẫn có những rủi ro cần được thực hiện nghiêm túc.


Rootkit, virus, ransomware và nhiều chương trình gây hại khác thường có thể tấn công và gây ra sự cố cho máy chủ Linux.

Bất kể hệ điều hành, thực hiện các biện pháp bảo mật là bắt buộc cho các máy chủ. Các thương hiệu và tổ chức lớn đã thực hiện các biện pháp bảo mật trong tay và phát triển các công cụ không chỉ phát hiện lỗ hổng và phần mềm độc hại mà còn sửa chúng và thực hiện các hành động phòng ngừa.

May mắn thay, có những công cụ có sẵn với giá thấp hoặc miễn phí có thể giúp cho quá trình này. Họ có thể phát hiện các lỗ hổng trong các phần khác nhau của máy chủ dựa trên Linux.

Lynis

Lynis là một công cụ bảo mật nổi tiếng và là một lựa chọn ưu tiên cho các chuyên gia về Linux. Nó cũng hoạt động trên các hệ thống dựa trên Unix và macOS. Đây là một ứng dụng phần mềm nguồn mở đã được sử dụng từ năm 2007 theo giấy phép GPL.

Lynis có khả năng phát hiện các lỗ hổng bảo mật và lỗi cấu hình. Nhưng nó vượt xa hơn thế: thay vì chỉ phơi bày những lỗ hổng, nó gợi ý những hành động khắc phục. Đó là lý do tại sao, để có được các báo cáo kiểm toán chi tiết, cần phải chạy nó trên hệ thống máy chủ.

Cài đặt không cần thiết để sử dụng Lynis. Bạn có thể trích xuất nó từ gói đã tải xuống hoặc tarball và chạy nó. Bạn cũng có thể lấy nó từ bản sao Git để có quyền truy cập vào tài liệu và mã nguồn đầy đủ.

Lynis được tạo ra bởi tác giả gốc của Rkhunter, Michael Boelen. Nó có hai loại dịch vụ dựa trên cá nhân và doanh nghiệp. Trong cả hai trường hợp, nó có một hiệu suất vượt trội.

Chkrootkit

Như bạn có thể đã đoán, chkrootkit là một công cụ để kiểm tra sự tồn tại của rootkit. Rootkit là một loại phần mềm độc hại có thể cấp quyền truy cập máy chủ cho người dùng trái phép. Nếu bạn đang chạy một máy chủ dựa trên Linux, rootkit có thể là một vấn đề.

chkrootkit là một trong những chương trình dựa trên Unix được sử dụng nhiều nhất có thể phát hiện rootkit. Nó sử dụng ‘chuỗi, và‘ grep, (các lệnh của công cụ Linux) để phát hiện các vấn đề.

Nó có thể được sử dụng từ một thư mục thay thế hoặc từ đĩa cứu hộ, trong trường hợp bạn muốn nó xác minh một hệ thống đã bị xâm nhập. Các thành phần khác nhau của Chkrootkit đảm nhiệm việc tìm kiếm các mục đã bị xóa trong các tệp wtmp, và các tệp cuối cùng, tìm các bản ghi sniffer hoặc các tệp cấu hình rootkit và kiểm tra các mục ẩn trong các chương trình / cuộc gọi hoặc chương trình ẩn.

Để sử dụng chkrootkit, bạn nên lấy phiên bản mới nhất từ ​​máy chủ, giải nén các tệp nguồn, biên dịch chúng và bạn đã sẵn sàng để đi.

Rkhunter

Nhà phát triển Micheal Boelen là người đứng đằng sau Rkhunter (Rootkit Hunter) vào năm 2003. Đây là một công cụ phù hợp cho các hệ thống POSIX và có thể giúp phát hiện rootkit và các lỗ hổng khác. Rkhunter xem xét kỹ lưỡng các tệp (có thể ẩn hoặc hiển thị), thư mục mặc định, mô-đun hạt nhân và quyền được định cấu hình sai.

Sau khi kiểm tra định kỳ, nó so sánh chúng với các hồ sơ cơ sở dữ liệu an toàn và đúng đắn và tìm kiếm các chương trình đáng ngờ. Vì chương trình được viết bằng Bash, nó không chỉ có thể chạy trên các máy Linux mà còn trên thực tế bất kỳ phiên bản Unix nào.

Ngao

Viết bằng C++, Ngao là một phần mềm chống vi-rút nguồn mở có thể giúp phát hiện vi-rút, trojan và nhiều loại phần mềm độc hại khác. Đây là một công cụ hoàn toàn miễn phí, đó là lý do tại sao nhiều người sử dụng nó để quét thông tin cá nhân của họ, bao gồm cả email, cho bất kỳ loại tệp độc hại nào. Nó cũng phục vụ đáng kể như một máy quét phía máy chủ.

Công cụ này ban đầu được phát triển, đặc biệt là cho Unix. Tuy nhiên, nó có các phiên bản bên thứ ba có thể được sử dụng trên Linux, BSD, AIX, macOS, OSF, OpenVMS và Solaris. Clam AV thực hiện cập nhật tự động và thường xuyên cơ sở dữ liệu của mình, để có thể phát hiện ngay cả các mối đe dọa gần đây nhất. Nó cho phép quét dòng lệnh và nó có một con quỷ có khả năng mở rộng đa luồng để cải thiện tốc độ quét của nó.

Nó có thể đi qua các loại tệp khác nhau để phát hiện lỗ hổng. Nó hỗ trợ tất cả các loại tệp nén, bao gồm RAR, Zip, Gzip, Tar, Nội, OLE2, CHM, định dạng SIS, BinHex và hầu hết mọi loại hệ thống email.

LMD

Phát hiện phần mềm độc hại Linux Nói ngắn gọn LMD, viết tắt là một chương trình diệt virus nổi tiếng khác dành cho các hệ thống Linux, được thiết kế đặc biệt xung quanh các mối đe dọa thường thấy trên các môi trường được lưu trữ. Giống như nhiều công cụ khác có thể phát hiện phần mềm độc hại và rootkit, LMD sử dụng cơ sở dữ liệu chữ ký để tìm bất kỳ mã chạy độc hại nào và nhanh chóng chấm dứt nó.

LMD không giới hạn chính nó vào cơ sở dữ liệu chữ ký của riêng mình. Nó có thể tận dụng cơ sở dữ liệu ClamAV và Team Cymru để tìm thêm virus. Để đưa vào cơ sở dữ liệu của mình, LMD thu thập dữ liệu mối đe dọa từ các hệ thống phát hiện xâm nhập cạnh mạng. Bằng cách này, nó có khả năng tạo chữ ký mới cho phần mềm độc hại đang được sử dụng tích cực trong các cuộc tấn công.

LMD có thể được sử dụng thông qua dòng lệnh của maldet. Công cụ này được sản xuất đặc biệt cho các nền tảng Linux và có thể dễ dàng tìm kiếm thông qua các máy chủ Linux.

Radare2

Radare2 (R2) là một khung để phân tích các nhị phân và thực hiện kỹ thuật đảo ngược với khả năng phát hiện tuyệt vời. Nó có thể phát hiện các nhị phân không đúng định dạng, cung cấp cho người dùng các công cụ để quản lý chúng, vô hiệu hóa các mối đe dọa tiềm ẩn. Nó sử dụng sdb, là một cơ sở dữ liệu NoQuery. Các nhà nghiên cứu bảo mật phần mềm và nhà phát triển phần mềm thích công cụ này vì khả năng trình bày dữ liệu tuyệt vời của nó.

Một trong những tính năng nổi bật của Radare2 là người dùng không bị buộc phải sử dụng dòng lệnh để hoàn thành các nhiệm vụ như phân tích tĩnh / động và khai thác phần mềm. Đó là khuyến cáo cho bất kỳ loại nghiên cứu về dữ liệu nhị phân.

OpenVAS

Hệ thống đánh giá tính dễ bị tổn thương mở, hoặc OpenVAS, là một hệ thống được lưu trữ để quét các lỗ hổng và quản lý chúng. Nó được thiết kế cho các doanh nghiệp thuộc mọi quy mô, giúp họ phát hiện các vấn đề bảo mật ẩn trong cơ sở hạ tầng của họ. Ban đầu, sản phẩm được gọi là GNessUs, cho đến khi chủ sở hữu hiện tại của nó, Greenbone Networks, đổi tên thành OpenVAS.

Kể từ phiên bản 4.0, OpenVAS cho phép cập nhật liên tục trong các khoảng thời gian dưới 24 giờ của cơ sở Kiểm tra tính dễ tổn thương mạng (NVT) của nó. Tính đến tháng 6 năm 2016, nó đã có hơn 47.000 NVT.

Các chuyên gia bảo mật sử dụng OpenVAS vì khả năng quét nhanh. Nó cũng có tính năng cấu hình tuyệt vời. Các chương trình OpenVAS có thể được sử dụng từ một máy ảo độc lập để thực hiện nghiên cứu phần mềm độc hại an toàn. Mã nguồn của nó có sẵn theo giấy phép GNU GPL. Nhiều công cụ phát hiện lỗ hổng khác phụ thuộc vào OpenVAS hèthat là lý do tại sao nó được coi là một chương trình thiết yếu trong các nền tảng dựa trên Linux.

Ghi nhớ

Ghi nhớ sử dụng các phương pháp kỹ thuật đảo ngược để phân tích phần mềm độc hại. Nó có thể phát hiện nhiều vấn đề dựa trên trình duyệt, ẩn trong các đoạn mã bị che khuất của JavaScript và các applet Flash. Nó cũng có khả năng quét các tệp PDF và thực hiện pháp y bộ nhớ. Công cụ này giúp phát hiện các chương trình độc hại bên trong các thư mục và tệp có thể được quét dễ dàng với các chương trình phát hiện vi-rút khác.

Nó có hiệu quả do khả năng giải mã và kỹ thuật đảo ngược của nó. Nó có thể xác định các thuộc tính của các chương trình đáng ngờ và vì nhẹ, nó không bị phát hiện bởi các chương trình độc hại thông minh. Nó có thể được sử dụng trên cả Linux và Windows và chức năng của nó có thể được cải thiện với sự trợ giúp của các công cụ quét khác.

con hổ

Năm 1992, Texas A&Đại học M bắt đầu làm việc trên con hổ để tăng cường bảo mật máy tính trong khuôn viên của họ. Bây giờ, nó là một chương trình phổ biến cho các nền tảng giống như Unix. Một điều độc đáo về công cụ này là nó không chỉ là một công cụ kiểm toán bảo mật mà còn là một hệ thống phát hiện xâm nhập.

Công cụ này miễn phí sử dụng theo giấy phép GPL. Nó phụ thuộc vào các công cụ POSIX và cùng nhau họ có thể tạo ra một khung hoàn hảo có thể tăng tính bảo mật cho máy chủ của bạn một cách đáng kể. Tiger hoàn toàn được viết trên ngôn ngữ hệ vỏ, một trong những lý do cho tính hiệu quả của nó. Nó phù hợp để kiểm tra trạng thái và cấu hình hệ thống, và việc sử dụng đa mục đích của nó làm cho nó rất phổ biến trong số những người sử dụng các công cụ POSIX.

Maltrail

Maltrail là một hệ thống phát hiện lưu lượng có khả năng giữ cho máy chủ của bạn lưu lượng truy cập sạch sẽ và giúp nó tránh mọi loại mối đe dọa độc hại. Nó thực hiện nhiệm vụ đó bằng cách so sánh các nguồn lưu lượng truy cập với các trang web được liệt kê trực tuyến.

Bên cạnh việc kiểm tra các trang web trong danh sách đen, Nó cũng sử dụng các cơ chế heuristic tiên tiến để phát hiện các loại mối đe dọa khác nhau. Mặc dù là một tính năng tùy chọn, nhưng nó rất hữu ích khi bạn nghĩ rằng máy chủ của bạn đã bị tấn công.

Nó có một cảm biến có khả năng phát hiện lưu lượng mà máy chủ nhận được và gửi thông tin đến máy chủ Maltrail. Hệ thống phát hiện xác minh xem lưu lượng có đủ tốt để trao đổi dữ liệu giữa máy chủ và nguồn không.

YARA

Được tạo cho Linux, Windows và macOS, YARA (Yet Another Ridicious Acronym) là một trong những công cụ thiết yếu nhất được sử dụng để nghiên cứu và phát hiện các chương trình độc hại. Nó sử dụng các mẫu văn bản hoặc nhị phân để đơn giản hóa và tăng tốc quá trình phát hiện, dẫn đến một nhiệm vụ nhanh chóng và dễ dàng.

YARA có một số tính năng bổ sung, nhưng bạn cần thư viện OpenSSL để sử dụng chúng. Mặc dù nếu bạn không có thư viện đó, bạn có thể sử dụng YARA cho nghiên cứu phần mềm độc hại cơ bản thông qua một công cụ dựa trên quy tắc. Nó cũng có thể được sử dụng trong Cuckoo Sandbox, một hộp cát dựa trên Python lý tưởng để thực hiện nghiên cứu an toàn phần mềm độc hại.

Cách chọn công cụ tốt nhất?

Tất cả các công cụ chúng tôi đã đề cập ở trên hoạt động rất tốt và khi một công cụ phổ biến trong môi trường Linux, bạn có thể chắc chắn rằng hàng ngàn người dùng có kinh nghiệm đang sử dụng nó. Một điều mà các quản trị viên hệ thống nên nhớ là mỗi ứng dụng thường phụ thuộc vào các chương trình khác. Ví dụ, đó là trường hợp của ClamAV và OpenVAS.

Bạn cần hiểu hệ thống của bạn cần gì và trong lĩnh vực nào nó có thể có lỗ hổng. Đầu tiên, sử dụng một công cụ nhẹ để nghiên cứu phần nào cần chú ý. Sau đó sử dụng công cụ thích hợp để giải quyết vấn đề.

THẺ

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map