11 ابزار برای اسکن سرور لینوکس برای نقص امنیتی و بدافزار

اگرچه سیستم های مبتنی بر لینوکس غالبا غیرقابل نفوذ تلقی می شوند ، اما هنوز هم خطرات وجود دارد که باید جدی گرفته شوند.


روت کیت ها ، ویروس ها ، باج افزارها و بسیاری از برنامه های مضر دیگر اغلب می توانند به سرورهای لینوکس حمله کرده و باعث ایجاد مشکل شوند.

مهم نیست که سیستم عامل ، انجام اقدامات امنیتی برای سرورها ضروری است. مارک ها و سازمان های بزرگ اقدامات امنیتی را در دست خود گرفته اند و ابزاری را توسعه داده اند که نه تنها نقص ها و بدافزارها را تشخیص می دهد بلکه آنها را نیز اصلاح می کند و اقدامات پیشگیرانه ای را انجام می دهد.

خوشبختانه ابزاری برای قیمت پایین یا به صورت رایگان موجود است که می تواند به این روند کمک کند. آنها می توانند نقص هایی را در بخش های مختلف سرور مبتنی بر لینوکس تشخیص دهند.

لینس

لینس یک ابزار امنیتی مشهور و گزینه ای برتر برای متخصصان لینوکس است. همچنین بر روی سیستم های مبتنی بر یونیکس و macOS کار می کند. این برنامه نرم افزاری منبع باز است که از سال 2007 تحت مجوز GPL استفاده شده است.

Lynis قادر به شناسایی حفره های امنیتی و نقص های پیکربندی است. اما فراتر از آن است: به جای اینکه فقط آسیب پذیری ها را افشا کند ، اقدامات اصلاحی را پیشنهاد می کند. به همین دلیل ، برای دریافت گزارش های حسابرسی دقیق ، اجرای آن بر روی سیستم میزبان ضروری است.

برای استفاده از Lynis نصب لازم نیست. می توانید آن را از یک بسته بارگیری شده یا یک تاربال خارج کرده و آن را اجرا کنید. همچنین می توانید آن را از یک کلون Git دریافت کنید تا به اسناد کامل و کد منبع دسترسی داشته باشید.

Lynis توسط نویسنده اصلی Rkhunter ، مایکل Boelen ایجاد شده است. این خدمات دارای دو نوع خدمات مبتنی بر افراد و شرکت ها است. در هر دو حالت عملکرد برجسته ای دارد.

چروتکیت

همانطور که ممکن است قبلاً حدس زده باشید ، chkrootkit ابزاری برای بررسی وجود rootkits است. Rootkits نوعی نرم افزار مخرب است که می تواند سرور را به کاربر غیرمجاز دسترسی دهد. اگر سرور مبتنی بر لینوکس را اجرا می کنید ، rootkits می تواند یک مشکل باشد.

chkrootkit یکی از پرکاربردترین برنامه های مبتنی بر یونیکس است که می تواند روت کیت ها را تشخیص دهد. برای شناسایی مشکلات از “رشته” و “grep” (دستورات ابزار لینوکس) استفاده می کند.

در صورت تمایل به تأیید یک سیستم در حال حاضر به خطر افتاد ، می توان از یک فهرست راهنما یا جایگزین دیسک استفاده کرد. اجزای مختلف Chkrootkit به دنبال جستجوی ورودی های حذف شده در پرونده های “wtmp” و “lastlog” ، یافتن پرونده های sniffer یا پرونده های پیکربندی rootkit ، و بررسی ورودی های پنهان در “/ proc” یا تماس با برنامه “readdir” می باشند..

برای استفاده از chkrootkit ، باید آخرین نسخه را از یک سرور دریافت کنید ، فایل های منبع را استخراج کنید ، آنها را کامپایل کنید ، و شما آماده هستید.

راخونتر

توسعه دهنده میشل بولن شخصی بود که ساخت راخونتر (Rootkit Hunter) در سال 2003. این وسیله ای مناسب برای سیستم های POSIX است و می تواند در تشخیص ریشه و سایر آسیب پذیری ها کمک کند. Rkhunter بطور کامل از طریق پرونده ها (پنهان یا قابل مشاهده) ، دایرکتوری های پیش فرض ، ماژول های هسته و مجوزهای پیکربندی شده عبور می کند.

پس از بررسی معمول ، آنها را با سوابق ایمن و مناسب پایگاه داده ها مقایسه می کند و به دنبال برنامه های مشکوک است. از آنجا که این برنامه در Bash نوشته شده است ، نه تنها می تواند بر روی دستگاه های لینوکس اجرا شود بلکه در نسخه های یونیکس نیز کاربرد دارد.

ClamAV

نوشته شده در سی++, ClamAV یک آنتی ویروس منبع باز است که می تواند در تشخیص ویروس ها ، تروجان ها و بسیاری از انواع دیگر بدافزارها به شما کمک کند. این یک ابزار کاملاً رایگان است ، به همین دلیل بسیاری از افراد از آن برای اسکن کردن اطلاعات شخصی خود ، از جمله ایمیل برای هر نوع پرونده مخرب استفاده می کنند. همچنین به عنوان یک اسکنر سمت سرور به طور قابل توجهی عمل می کند.

این ابزار در ابتدا مخصوصاً برای یونیکس ساخته شد. با این حال ، این نسخه های شخص ثالث است که می تواند در لینوکس ، BSD ، AIX ، macOS ، OSF ، OpenVMS و Solaris استفاده شود. Clam AV یک بروزرسانی خودکار و منظم از پایگاه داده خود انجام می دهد تا بتواند حتی جدیدترین تهدیدها را نیز تشخیص دهد. این امکان را برای اسکن خط فرمان می دهد و دارای یک دیو مقیاس پذیر چند رشته ای است که می تواند سرعت اسکن آن را بهبود ببخشد.

این می تواند انواع مختلفی از پرونده ها را برای شناسایی آسیب پذیری ها طی کند. این برنامه از انواع فایلهای فشرده شده ، از جمله RAR ، Zip ، Gzip ، Tar ، Cabinet ، OLE2 ، CHM ، فرمت SIS ، BinHex و تقریباً از هر نوع سیستم ایمیل پشتیبانی می کند..

LMD

تشخیص بدافزار لینوکس – یا LMD ، برای کوتاه – یکی دیگر از آنتی ویروس های مشهور برای سیستم های لینوکس است که بطور خاص در مورد تهدیدهایی که معمولاً در محیط های میزبان یافت می شود طراحی شده است. LMD مانند بسیاری از ابزارهای دیگر که می توانند بدافزارها و بدافزارها را تشخیص دهند ، از یک پایگاه داده امضا برای یافتن هرگونه کد در حال اجرا مخرب استفاده کرده و به سرعت آن را خاتمه می دهد.

LMD محدود به پایگاه داده امضاء خودش نمی شود. این می تواند به بانک اطلاعاتی ClamAV و Team Cymru کمک کند تا ویروس های بیشتری پیدا کند. برای جمع آوری پایگاه داده خود ، LMD اطلاعات تهدید سیستم های تشخیص نفوذ لبه شبکه را ضبط می کند. با انجام این کار ، این امکان وجود دارد که برای بدافزارهایی که بطور فعال در حملات مورد استفاده قرار می گیرند ، امضاهای جدید ایجاد کنید.

LMD را می توان از طریق خط فرمان “maldet” استفاده کرد. این ابزار مخصوص سیستم عامل های لینوکس ساخته شده است و به راحتی می توانید از طریق سرورهای لینوکس جستجو کنید.

Radare2

Radare2 (R2) چارچوبی برای تجزیه و تحلیل باینری ها و انجام مهندسی معکوس با توانایی های تشخیص عالی است. این می تواند باینری های ناسازگار را تشخیص داده و ابزارهایی را برای مدیریت آنها در اختیار کاربر قرار دهد و تهدیدهای احتمالی را خنثی کند. از sdb ، که یک پایگاه داده NoSQL است ، استفاده می کند. محققان امنیت نرم افزار و توسعه دهندگان نرم افزار این ابزار را برای توانایی عالی در ارائه اطلاعات داده ترجیح می دهند.

یکی از ویژگی های برجسته Radare2 این است که کاربر مجبور نیست از خط فرمان برای انجام وظایفی مانند تحلیل استاتیک / پویا و بهره برداری از نرم افزار استفاده کند. برای هر نوع تحقیق در مورد داده های باینری توصیه می شود.

OpenVAS

سیستم ارزیابی آسیب پذیری باز ، یا OpenVAS, یک سیستم میزبانی شده برای اسکن آسیب پذیری ها و مدیریت آنهاست. این شرکت برای مشاغل در هر اندازه طراحی شده است و به آنها کمک می کند تا مسائل امنیتی پنهان شده در زیرساخت های خود را کشف کنند. در ابتدا این محصول با نام GNessUs شناخته می شد ، تا اینکه صاحب فعلی آن ، Greenbone Networks نام خود را به OpenVAS تغییر داد.

از آنجا که از نسخه 4.0 ، OpenVAS اجازه می دهد تا به طور مداوم به روز رسانی شود – بطور مستقیم و در دوره های کمتر از 24 ساعت- از پایه تست آسیب پذیری شبکه (NVT) آن. از ژوئن 2016 ، بیش از 47،000 NVT داشت.

کارشناسان امنیتی به دلیل توانایی اسکن سریع از OpenVAS استفاده می کنند. همچنین از قابلیت تنظیم عالی برخوردار است. برنامه های OpenVAS می تواند از یک ماشین مجازی خودمحور برای انجام تحقیقات بدافزار ایمن استفاده شود. کد منبع آن تحت مجوز GNU GPL موجود است. بسیاری دیگر از ابزارهای شناسایی آسیب پذیری به OpenVAS بستگی دارند – به همین دلیل در سیستم عامل های مبتنی بر لینوکس به عنوان یک برنامه اساسی مورد استفاده قرار می گیرد..

REMnux

REMnux برای تحلیل بدافزارها از روشهای مهندسی معکوس استفاده می کند. این دستگاه می تواند بسیاری از مشکلات مبتنی بر مرورگر را که در قسمت های خرابک جاوا اسکریپت و اپلت های فلش پنهان شده است ، تشخیص دهد. همچنین قادر به اسکن پرونده های PDF و انجام پزشکی قانونی حافظه است. این ابزار با شناسایی برنامه های مخرب در پوشه ها و پرونده هایی که به راحتی با سایر برنامه های شناسایی ویروس قابل اسکن نیست ، کمک می کند.

به دلیل قابلیت رمزگشایی و مهندسی معکوس ، موثر است. این می تواند خواص برنامه های مشکوک را تعیین کند و برای اینکه سبک وزن باشد ، توسط برنامه های مخرب هوشمند بسیار غیر قابل کشف است. این قابلیت هم در لینوکس و هم در ویندوز مورد استفاده قرار می گیرد و عملکرد آن با کمک سایر ابزارهای اسکن قابل بهبود است.

ببر

در سال 1992 ، تگزاس آ&دانشگاه M شروع به کار کرد ببر برای افزایش امنیت رایانه های دانشگاه خود. اکنون ، این یک برنامه محبوب برای سیستم عامل های مشابه یونیکس است. نکته منحصر به فرد در مورد این ابزار این است که نه تنها یک ابزار ممیزی امنیتی بلکه یک سیستم تشخیص نفوذ است.

این ابزار برای استفاده تحت مجوز GPL رایگان است. این به ابزارهای POSIX بستگی دارد و در کنار هم آنها می توانند یک چارچوب مناسب را ایجاد کنند که می تواند امنیت سرور شما را به میزان قابل توجهی افزایش دهد. ببر کاملاً روی زبان پوسته نوشته شده است – این یکی از دلایل اثربخشی آن است. این برای بررسی وضعیت سیستم و پیکربندی مناسب است و استفاده چند منظوره از آن باعث محبوبیت زیادی در بین افرادی که از ابزارهای POSIX استفاده می کنند.

مالترایل

مالترایل یک سیستم شناسایی ترافیک است که قادر است ترافیک سرور شما را تمیز نگه داشته و به آن کمک کند تا از هر نوع تهدیدات مخرب جلوگیری کند. این کار را با مقایسه منابع ترافیکی با سایت های لیست سیاه که به صورت آنلاین منتشر شده اند ، انجام می دهد.

علاوه بر بررسی سایت های لیست سیاه ، از مکانیسم های پیشرفته اکتشافی نیز برای کشف انواع مختلف تهدیدات استفاده می کند. حتی اگر این یک ویژگی اختیاری است ، وقتی فکر می کنید سرور شما قبلاً مورد حمله قرار گرفته است ، مفید خواهد بود.

این سنسور قادر به شناسایی ترافیکی است که یک سرور دریافت می کند و اطلاعات را به سرور Maltrail ارسال می کند. سیستم تشخیص تأیید می کند که آیا ترافیک به اندازه کافی مناسب است تا داده ها بین یک سرور و منبع مبادله شود.

یارا

برای لینوکس ، ویندوز و macOS ساخته شده است, یارا (با این حال یکی دیگر از ابزارهای ضروری که برای تحقیق و کشف برنامه های مخرب مورد استفاده قرار می گیرد) یکی دیگر از ابزارهای ضروری است. از الگوهای متنی یا باینری برای ساده سازی و تسریع روند تشخیص استفاده می کند و نتیجه آن کار سریع و آسان خواهد بود.

YARA برخی از ویژگی های اضافی را دارد ، اما برای استفاده از آنها به کتابخانه OpenSSL احتیاج دارید. حتی اگر آن کتابخانه را ندارید ، می توانید از YARA برای تحقیقات اولیه بدافزارها از طریق یک موتور مبتنی بر قانون استفاده کنید. همچنین می تواند در Cboxoo Sandbox ، ماسهبازی مستقر در پایتون برای انجام تحقیقات ایمن از نرم افزارهای مخرب استفاده شود.

چگونه بهترین ابزار را انتخاب کنیم?

تمام ابزاری که در بالا به آنها اشاره کردیم بسیار خوب کار می کنند و وقتی ابزاری در محیط های لینوکس محبوب است ، می توانید بسیار مطمئن باشید که هزاران کاربر باتجربه از آن استفاده می کنند. نکته ای که مدیران سیستم باید به خاطر داشته باشند این است که معمولاً هر برنامه وابسته به سایر برنامه ها است. به عنوان مثال ، این مورد در ClamAV و OpenVAS وجود دارد.

شما باید بدانید که سیستم شما به چه چیزی نیاز دارد و در کدام مناطق می تواند آسیب پذیری داشته باشد. در مرحله اول ، از یک ابزار سبک برای تحقیق در مورد بخش مورد نظر استفاده کنید. سپس برای حل مشکل از ابزار مناسب استفاده کنید.

برچسب ها:

  • لینوکس

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map