11 инструментов для сканирования Linux Server на наличие уязвимостей и вредоносных программ

Несмотря на то, что системы на базе Linux часто считаются непроницаемыми, все же существуют риски, к которым нужно относиться серьезно.


Руткиты, вирусы, вымогатели и многие другие вредоносные программы часто могут атаковать и вызывать проблемы на серверах Linux.

Независимо от операционной системы, принятие мер безопасности является обязательным для серверов. Крупные бренды и организации взяли в свои руки меры безопасности и разработали инструменты, которые не только обнаруживают недостатки и вредоносные программы, но также исправляют их и принимают превентивные меры..

К счастью, есть инструменты, доступные по низкой цене или бесплатно, которые могут помочь в этом процессе. Они могут обнаруживать недостатки в разных разделах сервера на базе Linux.

Lynis

Lynis является известным средством безопасности и предпочтительным вариантом для экспертов в Linux. Он также работает на системах на основе Unix и MacOS. Это приложение с открытым исходным кодом, которое используется с 2007 года по лицензии GPL.

Lynis способен обнаруживать дыры в безопасности и недостатки конфигурации. Но это выходит за рамки этого: вместо того, чтобы просто разоблачать уязвимости, он предлагает корректирующие действия. Поэтому для получения подробных отчетов по аудиту необходимо запустить его на хост-системе..

Установка не требуется для использования Lynis. Вы можете извлечь его из загруженного пакета или архива и запустить его. Вы также можете получить его из клона Git, чтобы иметь доступ к полной документации и исходному коду..

Lynis был создан оригинальным автором Rkhunter Майклом Боленом. Он имеет два типа услуг, основанных на частных лиц и предприятий. В любом случае, он имеет выдающуюся производительность.

Chkrootkit

Как вы уже догадались, chkrootkit инструмент для проверки наличия руткитов Руткиты – это разновидность вредоносного программного обеспечения, которое может предоставить доступ к серверу неавторизованному пользователю. Если вы используете сервер на базе Linux, руткиты могут быть проблемой.

chkrootkit – одна из наиболее часто используемых Unix-программ, которая может обнаруживать руткиты. Он использует «строки» и «grep» (команды инструментов Linux) для выявления проблем.

Его можно использовать из альтернативного каталога или с аварийного диска, если вы хотите проверить уже скомпрометированную систему. Различные компоненты Chkrootkit заботятся о поиске удаленных записей в файлах «wtmp» и «lastlog», поиске записей сниффера или файлов конфигурации руткитов, а также проверке скрытых записей в «/ proc» или вызовах программы «readdir»..

Чтобы использовать chkrootkit, вы должны получить последнюю версию с сервера, распаковать исходные файлы, скомпилировать их, и вы готовы к работе.

RkHunter

Разработчик Micheal Boelen был человеком, который сделал RkHunter (Rootkit Hunter) в 2003 году. Это подходящий инструмент для систем POSIX и может помочь в обнаружении руткитов и других уязвимостей. Rkhunter тщательно просматривает файлы (скрытые или видимые), каталоги по умолчанию, модули ядра и неправильно настроенные разрешения.

После обычной проверки он сравнивает их с безопасными и правильными записями баз данных и ищет подозрительные программы. Поскольку программа написана на Bash, она может работать не только на машинах Linux, но и практически на любой версии Unix..

ClamAV

Написано на С++, ClamAV это антивирус с открытым исходным кодом, который может помочь в обнаружении вирусов, троянов и многих других типов вредоносных программ. Это совершенно бесплатный инструмент, поэтому многие люди используют его для сканирования своей личной информации, включая электронную почту, на наличие любых вредоносных файлов. Он также служит в качестве сканера на стороне сервера..

Инструмент был изначально разработан, особенно для Unix. Тем не менее, у него есть сторонние версии, которые можно использовать в Linux, BSD, AIX, macOS, OSF, OpenVMS и Solaris. Clam AV выполняет автоматическое и регулярное обновление своей базы данных, чтобы иметь возможность обнаруживать даже самые последние угрозы. Он позволяет сканировать из командной строки и имеет многопоточный масштабируемый демон для повышения скорости сканирования..

Он может просматривать различные типы файлов для обнаружения уязвимостей. Он поддерживает все виды сжатых файлов, включая RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, формат SIS, BinHex и почти любой тип системы электронной почты..

LMD

Linux Malware Detect Или, кратко, LMD – это еще один известный антивирус для систем Linux, специально разработанный для угроз, обычно встречающихся в размещенных средах. Как и многие другие инструменты, которые могут обнаруживать вредоносные программы и руткиты, LMD использует базу данных сигнатур, чтобы найти любой вредоносный код и быстро завершить его..

LMD не ограничивается собственной базой данных сигнатур. Он может использовать базы данных ClamAV и Team Cymru для поиска еще большего количества вирусов. Чтобы заполнить свою базу данных, LMD собирает данные об угрозах из систем обнаружения вторжений на границе сети. Делая это, он способен генерировать новые сигнатуры для вредоносных программ, которые активно используются в атаках.

LMD можно использовать через командную строку «maldet». Инструмент специально создан для платформ Linux и может легко выполнять поиск по серверам Linux..

radare2

radare2 (R2) – это структура для анализа двоичных файлов и выполнения обратного инжиниринга с превосходными способностями обнаружения. Он может обнаруживать искаженные двоичные файлы, предоставляя пользователю инструменты для управления ими, нейтрализуя потенциальные угрозы. Он использует SDB, который является базой данных NoSQL. Исследователи безопасности программного обеспечения и разработчики программного обеспечения предпочитают этот инструмент из-за его превосходной способности представления данных.

Одна из выдающихся особенностей Radare2 заключается в том, что пользователь не обязан использовать командную строку для выполнения таких задач, как статический / динамический анализ и эксплуатация программного обеспечения. Рекомендуется для любого типа исследования бинарных данных..

OpenVAS

Открытая система оценки уязвимостей или OpenVAS, это размещенная система для сканирования уязвимостей и управления ими. Он предназначен для компаний любого размера, помогая обнаруживать проблемы безопасности, скрытые в их инфраструктуре. Первоначально продукт был известен как GNessUs, пока его нынешний владелец, Greenbone Networks, не изменил название на OpenVAS..

Начиная с версии 4.0, OpenVAS позволяет непрерывно обновлять – обычно в периоды менее 24 часов – своей базы тестирования уязвимостей сети (NVT). По состоянию на июнь 2016 года было более 47 000 НВЦ.

Эксперты по безопасности используют OpenVAS из-за его способности быстро сканировать. Это также показывает превосходную настраиваемость. Программы OpenVAS можно использовать с автономной виртуальной машины для проведения безопасных исследований вредоносных программ. Его исходный код доступен под лицензией GNU GPL. Многие другие инструменты обнаружения уязвимостей зависят от OpenVAS, поэтому его используют в качестве основной программы на платформах на основе Linux..

REMnux

REMnux использует методы обратной инженерии для анализа вредоносных программ. Он может обнаруживать многие проблемы, связанные с браузером, скрытые в обфусцированных фрагментах кода JavaScript и апплетах Flash. Он также способен сканировать файлы PDF и выполнять экспертизу памяти. Этот инструмент помогает обнаруживать вредоносные программы внутри папок и файлов, которые нелегко сканировать с помощью других программ обнаружения вирусов..

Он эффективен благодаря своим возможностям декодирования и обратного проектирования. Он может определять свойства подозрительных программ, и, будучи легковесным, его очень трудно обнаружить умными вредоносными программами. Он может использоваться как в Linux, так и в Windows, и его функциональность может быть улучшена с помощью других инструментов сканирования..

тигр

В 1992 году в Техасе&Университет М начал работать над тигр повысить безопасность своих компьютеров в кампусе. Сейчас это популярная программа для Unix-подобных платформ. Уникальность этого инструмента в том, что он является не только средством аудита безопасности, но и системой обнаружения вторжений..

Инструмент можно бесплатно использовать под лицензией GPL. Он зависит от инструментов POSIX, и вместе они могут создать идеальную среду, которая может значительно повысить безопасность вашего сервера. Тигр полностью написан на языке оболочки – это одна из причин его эффективности. Он подходит для проверки состояния и конфигурации системы, а его многоцелевое использование делает его очень популярным среди людей, использующих инструменты POSIX.

Maltrail

Maltrail это система обнаружения трафика, способная поддерживать трафик вашего сервера в чистоте и помогать ему избегать любых вредоносных угроз. Он выполняет эту задачу, сравнивая источники трафика с помещенными в черный список сайтами, опубликованными в Интернете..

Помимо проверки сайтов, занесенных в черный список, он также использует усовершенствованные эвристические механизмы для обнаружения различных видов угроз. Несмотря на то, что это дополнительная функция, она пригодится, если вы думаете, что ваш сервер уже атакован.

Он имеет датчик, способный обнаруживать трафик, который получает сервер, и отправлять информацию на сервер Maltrail. Система обнаружения проверяет, достаточно ли хорош трафик для обмена данными между сервером и источником.

YARA

Сделано для Linux, Windows и MacOS, YARA (Еще одна нелепая аббревиатура) является одним из наиболее важных инструментов, используемых для исследования и обнаружения вредоносных программ. Он использует текстовые или двоичные шаблоны для упрощения и ускорения процесса обнаружения, что приводит к быстрой и простой задаче.

У YARA есть некоторые дополнительные функции, но вам нужна библиотека OpenSSL, чтобы использовать их. Даже если у вас нет этой библиотеки, вы можете использовать YARA для базовых исследований вредоносных программ через механизм на основе правил. Его также можно использовать в песочнице Cuckoo, песочнице на основе Python, идеально подходящей для безопасного исследования вредоносного программного обеспечения..

Как выбрать лучший инструмент?

Все инструменты, которые мы упомянули выше, работают очень хорошо, и когда инструмент популярен в среде Linux, вы можете быть уверены, что его используют тысячи опытных пользователей. Системные администраторы должны помнить одну вещь: каждое приложение обычно зависит от других программ. Например, так обстоит дело с ClamAV и OpenVAS.

Вы должны понимать, что нужно вашей системе и в каких областях она может иметь уязвимости. Во-первых, используйте легкий инструмент, чтобы исследовать, какой раздел требует внимания. Затем используйте подходящий инструмент для решения проблемы..

TAGS:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map