11 Instrumente pentru scanarea serverului Linux pentru defectele de securitate și programele malware

Chiar dacă sistemele bazate pe Linux sunt deseori considerate impenetrabile, există totuși riscuri care trebuie luate în serios.


Rootkit-urile, virușii, ransomware-urile și multe alte programe dăunătoare pot ataca și cauza probleme serverelor Linux.

Indiferent de sistemul de operare, luarea de măsuri de securitate este o necesitate pentru servere. Marci și organizații mari au luat măsurile de securitate în mâinile lor și au dezvoltat instrumente care nu numai că detectează defecte și malware, dar le corectează și iau măsuri preventive..

Din fericire, există instrumente disponibile la un preț mic sau gratuit, care vă pot ajuta în acest proces. Acestea pot detecta defecte în diferite secțiuni ale unui server bazat pe Linux.

Lynis

Lynis este un instrument de securitate renumit și o opțiune preferată pentru experții în Linux. De asemenea, funcționează pe sisteme bazate pe Unix și macOS. Este o aplicație software open-source folosită din 2007 sub licență GPL.

Lynis este capabil să detecteze găurile de securitate și defectele de configurare. Dar depășește asta: în loc să expunem doar vulnerabilitățile, sugerează acțiuni corective. De aceea, pentru a obține rapoarte de audit detaliate, este necesar să-l executați pe sistemul gazdă.

Instalarea nu este necesară pentru utilizarea Lynis. Îl puteți extrage dintr-un pachet descărcat sau dintr-un tarball și îl puteți rula. Puteți obține, de asemenea, de la o clonă Git pentru a avea acces la documentația completă și la codul sursă.

Lynis a fost creată de autorul original al lui Rkhunter, Michael Boelen. Are două tipuri de servicii bazate pe persoane și întreprinderi. În ambele cazuri, are o performanță remarcabilă.

chkrootkit

După cum probabil ați ghicit deja, chkrootkit este un instrument de verificare a existenței de rootkits. Rootkit-urile sunt un tip de software rău intenționat care poate oferi serverului acces unui utilizator neautorizat. Dacă executați un server bazat pe Linux, rootkit-urile pot fi o problemă.

chkrootkit este unul dintre cele mai utilizate programe bazate pe Unix care poate detecta rootkit-uri. Utilizează „șiruri” și „grep” (comenzile instrumentului Linux) pentru a detecta probleme.

Poate fi folosit dintr-un director alternativ sau de pe un disc de salvare, în cazul în care doriți să verifice un sistem deja compromis. Diferitele componente ale Chkrootkit au grijă să caute intrări șterse în fișierele „wtmp” și „lastlog”, găsirea înregistrărilor sniffer sau a fișierelor de configurare rootkit și verificarea intrărilor ascunse din „/ proc” sau apeluri la programul „readdir”..

Pentru a utiliza chkrootkit, ar trebui să obțineți cea mai recentă versiune de pe un server, să extrageți fișierele sursă, să le compilați și sunteți gata să mergeți.

rkhunter

Dezvoltatorul Micheal Boelen a fost persoana din spatele producției rkhunter (Rootkit Hunter) în 2003. Este un instrument potrivit pentru sistemele POSIX și poate ajuta la detectarea rootkit-urilor și a altor vulnerabilități. Rkhunter parcurge foarte bine fișiere (ascunse sau vizibile), directoare implicite, module kernel și permisiuni neconfigurate.

După o verificare de rutină, le compară cu înregistrările sigure și adecvate ale bazelor de date și caută programe suspecte. Deoarece programul este scris în Bash, acesta nu poate rula doar pe mașini Linux, ci și practic pe orice versiune a Unix.

ClamAV

Scris în C++, ClamAV este un antivirus open-source care poate ajuta la detectarea de viruși, troieni și multe alte tipuri de malware. Este un instrument complet gratuit, de aceea mulți oameni îl folosesc pentru a-și scana informațiile personale, inclusiv e-mailurile, pentru orice fel de fișiere dăunătoare. De asemenea, servește semnificativ ca un scaner din partea serverului.

Instrumentul a fost inițial dezvoltat, în special pentru Unix. Cu toate acestea, are versiuni terțe care pot fi utilizate pe Linux, BSD, AIX, macOS, OSF, OpenVMS și Solaris. Clam AV realizează o actualizare automată și regulată a bazei de date, pentru a putea detecta chiar și cele mai recente amenințări. Permite scanarea în linie de comandă și are un demon scalabil cu mai multe filete pentru a îmbunătăți viteza de scanare.

Poate parcurge diferite tipuri de fișiere pentru a detecta vulnerabilitățile. Acceptă toate tipurile de fișiere comprimate, inclusiv RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, format SIS, BinHex și aproape orice tip de sistem de e-mail..

LMD

Linux Malware Detect – sau LMD, pe scurt – este un alt antivirus renumit pentru sistemele Linux, conceput special în jurul amenințărilor întâlnite de obicei în mediile găzduite. La fel ca multe alte instrumente care pot detecta malware și rootkit-uri, LMD folosește o bază de date de semnături pentru a găsi orice cod de rulare rău intenționat și să îl încheie rapid.

LMD nu se limitează la baza de date cu semnături proprii. Poate folosi bazele de date ale ClamAV și Team Cymru pentru a găsi și mai mulți viruși. Pentru a-și popula baza de date, LMD surprinde date despre amenințări din sistemele de detectare a intruziunilor de la marginea rețelei. Făcând acest lucru, este capabil să genereze noi semnături pentru malware, care este utilizat în mod activ în atacuri.

LMD poate fi utilizat prin intermediul liniei de comandă „maldet”. Instrumentul este special creat pentru platformele Linux și poate căuta cu ușurință prin serverele Linux.

Radare2

Radare2 (R2) este un cadru pentru a analiza binarele și a face inginerie inversă cu abilități excelente de detectare. Poate detecta binarele defecte, oferind utilizatorului instrumentele pentru a le gestiona, neutralizând potențialele amenințări. Utilizează sdb, care este o bază de date NoSQL. Cercetătorii de securitate software și dezvoltatorii de software preferă acest instrument pentru capacitatea sa excelentă de prezentare a datelor.

Una dintre caracteristicile deosebite ale Radare2 este că utilizatorul nu este obligat să folosească linia de comandă pentru a îndeplini sarcini precum analiza statică / dinamică și exploatarea software. Este recomandat pentru orice tip de cercetare a datelor binare.

OpenVAS

Deschideți sistemul de evaluare a vulnerabilității sau OpenVAS, este un sistem găzduit pentru scanarea vulnerabilităților și gestionarea acestora. Este conceput pentru întreprinderile de toate dimensiunile, ajutându-i să detecteze probleme de securitate ascunse în infrastructurile lor. Inițial, produsul a fost cunoscut sub numele de GNessUs, până când proprietarul său actual, Greenbone Networks, și-a schimbat numele în OpenVAS.

Începând cu versiunea 4.0, OpenVAS permite actualizarea continuă – de obicei în perioade mai mici de 24 de ore – a bazei sale de testare a vulnerabilității rețelei (NVT). În iunie 2016, avea mai mult de 47.000 NVT.

Experții în securitate folosesc OpenVAS datorită capacității sale de a scana rapid. De asemenea, dispune de configurabilitate excelentă. Programele OpenVAS pot fi utilizate de la o mașină virtuală de sine stătătoare pentru a efectua cercetări sigure în malware. Codul sursă al acestuia este disponibil sub licență GNU GPL. Multe alte instrumente de detectare a vulnerabilităților depind de OpenVAS – motiv pentru care este luat ca un program esențial în platformele bazate pe Linux.

REMnux

REMnux utilizează metode de inginerie inversă pentru analiza programelor malware. Poate detecta numeroase probleme bazate pe browser, ascunse în fragmentele de coduri disfuncționate JavaScript și appleturile Flash. De asemenea, este capabil să scaneze fișiere PDF și să efectueze criminalistică de memorie. Instrumentul ajută la detectarea programelor dăunătoare din dosare și fișiere care nu pot fi scanate cu ușurință cu alte programe de detectare a virusului.

Este eficient datorită capacităților sale de decodare și de inginerie inversă. Poate determina proprietățile programelor suspecte, iar pentru faptul că este ușor, este foarte nedetectabil de programele inteligente. Poate fi utilizat atât pe Linux cât și pe Windows, iar funcționalitatea acestuia poate fi îmbunătățită cu ajutorul altor instrumente de scanare.

Tigru

În 1992, Texas A&M University a început să lucreze la Tigru pentru a crește securitatea computerelor din campusul lor. Acum, este un program popular pentru platformele asemănătoare Unix. Un lucru unic în legătură cu instrumentul este că nu este doar un instrument de audit al securității, ci și un sistem de detectare a intruziunilor.

Instrumentul este liber de utilizat sub licență GPL. Depinde de instrumentele POSIX și împreună pot crea un cadru perfect care poate crește în mod semnificativ securitatea serverului. Tigrul este scris în întregime pe limbajul de coajă – acesta este unul dintre motivele eficienței sale. Este potrivit pentru verificarea stării și configurației sistemului, iar utilizarea sa polivalentă îl face foarte popular printre persoanele care folosesc instrumente POSIX.

Maltrail

Maltrail este un sistem de detectare a traficului capabil să mențină curat traficul serverului dvs. și să-l ajute la evitarea oricăror amenințări dăunătoare. Acesta îndeplinește această sarcină prin compararea surselor de trafic cu site-urile listate negre publicate online.

Pe lângă verificarea site-urilor pe lista neagră, utilizează, de asemenea, mecanisme euristice avansate pentru detectarea diferitelor tipuri de amenințări. Chiar dacă este o caracteristică opțională, este util când credeți că serverul dvs. a fost deja atacat.

Are un senzor capabil să detecteze traficul pe care îl primește un server și să trimită informațiile către serverul Maltrail. Sistemul de detectare verifică dacă traficul este suficient de bun pentru a schimba date între un server și sursă.

YARA

Realizat pentru Linux, Windows și macOS, YARA (Și un alt acronim ridicol) este unul dintre cele mai esențiale instrumente utilizate pentru cercetarea și detectarea programelor dăunătoare. Utilizează modele textuale sau binare pentru a simplifica și accelera procesul de detectare, rezultând într-o sarcină rapidă și ușoară.

YARA are câteva funcții suplimentare, dar aveți nevoie de biblioteca OpenSSL pentru a le utiliza. Chiar dacă nu aveți acea bibliotecă, puteți utiliza YARA pentru cercetarea de bază cu programele malware printr-un motor bazat pe reguli. Poate fi, de asemenea, utilizat în Cuckoo Sandbox, o cutie de nisip bazată pe Python ideală pentru a face cercetări în siguranță a software-ului rău intenționat.

Cum să alegi cel mai bun instrument?

Toate instrumentele menționate mai sus funcționează foarte bine, iar atunci când un instrument este popular în mediile Linux, puteți fi sigur că mii de utilizatori experimentați îl folosesc. Un lucru pe care ar trebui să-l amintească administratorii de sistem este faptul că fiecare aplicație depinde de obicei de alte programe. De exemplu, acesta este cazul ClamAV și OpenVAS.

Trebuie să înțelegeți de ce are nevoie sistemul dvs. și în ce zone poate avea vulnerabilități. În primul rând, utilizați un instrument ușor pentru a cerceta ce secțiune are nevoie de atenție. Apoi folosiți instrumentul adecvat pentru a rezolva problema.

ETICHETE:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map