Selvom der siges meget om, at Linux -operativsystemer ikke er sårbare over for virusangreb, er der i dag med de stigende trusler, der opstår og de forskellige teknikker, der uden tvivl bruges, at intet system er 100% beskyttet, og derfor skal vi tage de respektive sikkerhedsforanstaltninger for at forhindre angreb og tyveri af følsomme oplysninger. I betragtning af dette har vi to trusler, der er kritiske, såsom malware og rootkit, malware og rootkits i særdeleshed, de kan fungere på en integreret og komplet måde i Linux, som de gør i andre "usikre" operativsystemer.
Solvetic vil gennemgå nogle af de bedste værktøjer til at scanne Linux -systemet efter malware eller rootkits, der kan kompromittere dets normale drift.
Hvad er et rootkitEt rootkit er en slags værktøj, der har magten til at handle uafhængigt eller være sammen med enhver variant af ondsindet kode, hvis hovedformål er at skjule dets formål for brugere og systemadministratorer.
Den grundlæggende opgave for et rootkit er at skjule oplysninger, der er forbundet med processer, netværksforbindelser, filer, mapper, privilegier, men det kan tilføje funktioner som bagdør eller bagdør for at give permanent adgang til systemet eller gøre brug af keyloggerne, hvis opgave er at opsnappe tastetryk, der bringer brugeraktiviteter i umiddelbar fare.
Der er forskellige typer rootkit, såsom:
Rootkit i brugerpladsDenne type rootkit kører direkte i brugerrummet på samme niveau som andre applikationer og binære filer, dens opgave er at erstatte legitime systemeksekverbare filer med andre, der er blevet ændret, så de oplysninger, de giver, manipuleres til negative formål.. Blandt de vigtigste binære filer, der angribes af rootkit, har vi ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, kl. og mere.
Rootkit i kernerumDet er en af de farligste, da du i dette tilfælde kan få adgang til systemet og opnå superbrugerrettigheder for at installere et rootkit i kernetilstand og på denne måde opnå total kontrol over systemet, og dermed integreres i systemet, deres registrering vil være meget mere kompleks, da de flytter til et højere privilegiumniveau med tilladelser til at blive ændret og ændret ikke kun binærfiler, men også funktioner og opkald i operativsystemet.
BootkitsDisse har mulighed for at tilføje bootfunktioner til rootkits og fra denne mod påvirker systemets firmware og disk boot sektorer.
Hvad er malwareMalware (ondsindet software), er dybest set et program, der har til formål at beskadige et system eller forårsage en funktionsfejl både i systemet og i de programmer, der er installeret der, inden for denne gruppe finder vi vira, trojanere (trojanske heste), orme (orm), keyloggers, Botnets, Ransomwares, Spyware, Adware, Rogues og mange flere.
Malware har forskellige adgangsstier, hvor den kan indsættes i systemet, såsom:
- Sociale medier
- Svigagtige websteder
- Inficerede USB -enheder / cd'er / dvd'er
- Vedhæftede filer i uopfordrede e -mails (spam)
Nu vil vi se de bedste værktøjer til at opdage disse trusler og fortsætte med deres korrektion.
Lynis
Lynis er et sikkerhedsværktøj designet til systemer, der kører Linux, macOS eller et Unix-baseret operativsystem.
Dens rolle er at udføre en omfattende systemhygiejnescanning for at understøtte systemhærdning og køre de nødvendige overensstemmelsestest for at udelukke trusler. Lynis er GPL -licenseret open source -software og har været tilgængelig siden 2007.
Vigtigste handlingerDens vigtigste handlinger er fokuseret på:
- Sikkerhedsrevisioner
- Overensstemmelsestest som PCI, HIPAA, SOx
- Penetrationstest for at se intern sikkerhed
- Sårbarhedsdetektion
- Systemhærdning
Til installationen vil vi først og fremmest downloade filen fra det officielle websted:
cd/opt/wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
FORSTØRRE
Vi udtrækker indholdet:
tjære xvzf lynis-2.6.6.tar.gz
FORSTØRRE
Endelig flytter vi applikationen til det korrekte bibliotek:
mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynisLynis -scanning er baseret på mulighed, det vil sige, at det kun vil bruge det, der er tilgængeligt, såsom tilgængelige værktøjer eller biblioteker, og ved hjælp af denne scanningsmetode kan værktøjet køre med næsten ingen afhængigheder.
Hvad dækker det overDe aspekter, Lynis dækker, er:
- Initialisering og grundlæggende kontrol
- Bestem operativsystemet og de medfølgende værktøjer
- Søg efter tilgængelige systemværktøjer
- Bekræft Lynis -opdateringen
- Kør aktiverede plugins
- Kør kategoribaserede sikkerhedstests
- Kør brugerdefinerede tests
- Rapportér status for sikkerhedsscanning
For at køre en komplet analyse af systemet udfører vi:
lynis revisionssystem
FORSTØRRE
Der starter hele analyseprocessen, og endelig vil vi se alle resultaterne i kategorier:
FORSTØRRE
Det er muligt at aktivere driften af Lynis til at være automatisk inden for et defineret tidsinterval, for dette skal vi tilføje følgende cron -indtastning, som i dette tilfælde vil blive udført kl. 11 om natten og vil sende rapporter til den indtastede e -mailadresse :
0 23 * * * / usr / local / bin / lynis -hurtig 2> & 1 | mail -s "Lynis -rapport" [email protected]
Rkhunter
RKH (RootKit Hunter), er et gratis, open source og brugervenligt værktøj, takket være det vil det være muligt at scanne bagdøre, rootkits og lokale exploits på POSIX-kompatible systemer, såsom Linux. Dets opgave er at opdage rootkits, siden det blev oprettet som et sikkerhedsovervågnings- og analyseværktøj, der inspicerer systemet i detaljer for at opdage skjulte sikkerhedshuller.
Rkhunter -værktøjet kan installeres ved hjælp af følgende kommando på Ubuntu- og CentOS -baserede systemer:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum installer rkhunter (CentOS)
FORSTØRRE
Vi indtaster bogstavet S for at bekræfte download og installation af værktøjet. Når det er installeret, kan vi overvåge systemet ved at udføre følgende:
sudo rkhunter -c
FORSTØRRE
Der vil processen med at analysere systemet på jagt efter farlige situationer fortsætte:
FORSTØRRE
Der vil det analysere alle eksisterende rootkit -muligheder og køre yderligere analysehandlinger på netværket og andre elementer.
Chkrootkit
Chkrootkit er et andet af de værktøjer, der er udviklet til at verificere lokalt, hvis der er rootkits, dette værktøj inkluderer:
chkrootkitDet er et shell -script, der kontrollerer systembinarerne for rootkit -ændringer.
ifpromisc.cKontroller, om grænsefladen er i promiskuøs tilstand
chklastlog.cKontroller sletninger fra sidste log
chkwtmp.cKontroller wtmp -sletninger
check_wtmpx.cKontroller wtmpx -sletninger
chkproc.cSe efter tegn på LKM -trojanske heste
chkdirs.cSe efter tegn på LKM -trojanske heste
strenge. cHurtig og snavset kædeudskiftning
chkutmp.cKontroller utmp -sletninger
Chkrootkit kan installeres ved at køre:
sudo apt installere chkrootkit
FORSTØRRE
I tilfælde af CentOS skal vi udføre:
yum opdatering yum installer wget gcc -c ++ glibc -statisk wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir/usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit giver meningFor at køre dette værktøj kan vi bruge en af følgende muligheder:
sudo chkrootkit / usr / local / chkrootkit / chkrootkit
FORSTØRRE
ClamAV
En anden af de velkendte løsninger til sårbarhedsanalyse i Linux er ClamAV, der er udviklet som en open source antivirusmotor (GPL), der kan udføres til forskellige handlinger, herunder e-mail-scanning, webscanning og websikkerhed. Sidste punkt.
ClamAV tilbyder os en række hjælpeprogrammer, herunder en fleksibel og skalerbar multithreaded dæmon, en kommandolinjescanner og et avanceret værktøj til automatiske databaseopdateringer.
FunktionerBlandt de mest fremragende funktioner finder vi:
- Kommandolinjescanner
- Milter interface til sendmail
- Avanceret databaseopdaterer med understøttelse af scriptede opdateringer og digitale signaturer
- Integreret support til arkivformater som Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS og andre
- Konstant opdateret virusdatabase
- Integreret support til alle standard mailfilformater
- Integreret support til ELF -eksekverbare filer og bærbare eksekverbare filer pakket med UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack og tilsløret med SUE, Y0da Cryptor og andre
- Indbygget understøttelse af MS Office og MacOffice, HTML, Flash, RTF og PDF dokumentformater.
For at installere ClamAV skal vi udføre følgende kommando:
sudo apt installere clamav
FORSTØRRE
Vi indtaster bogstavet S for at bekræfte download og installation af ClamAV.
I tilfælde af CentOS kan vi udføre følgende:
yum -y opdater yum -y installer clamavTil udførelsen af ClamAV vil vi udføre følgende:
sudo clamscan -r -i "Directory"
FORSTØRRE
LMD - Linux Malware Detect
Linux Malware Detect (LMD) er udviklet som en malware -scanner til Linux under GNU GPLv2 -licensen, hvis hovedfunktion er at bruge trusseldata fra indtrængningsdetekteringssystemer til at udtrække malware, der bruges aktivt i angreb og kan generere signaturer til at opdage disse trusler .
Underskrifterne, som LMD bruger, er MD5 -fil -hash og HEX -mønstermatcher, som også let kan eksporteres til forskellige detektionsværktøjer såsom ClamAV.
funktionerBlandt dens egenskaber finder vi:
- Indbygget ClamAV-detektion, der skal bruges som scannermotor for de bedste resultater
- MD5 -filhashdetektering til hurtig identifikation af trusler
- Statistisk analysekomponent til trusselregistrering
- Indbygget version opdateringsfunktion med -d
- Integreret signaturopdateringsfunktion med -u
- Dagligt cron script kompatibelt med RH, Cpanel & Ensim stil systemer
- Kernel inotify monitor, som kan tage stidata fra STDIN eller FILE
- Daglig cron-baseret scanning af alle ændringer i det sidste døgn til brugerlogfiler
- Gendannelsesmulighed i karantæne for at gendanne filer til den originale sti, inklusive ejer
- Muligheder for at ignorere regler baseret på ruter, udvidelser og signaturer
For at installere LMD i Linux vil vi udføre følgende:
cd/tmp/curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2/bash install.sh
FORSTØRRE
Nu kan vi udføre den ønskede bibliotek, i dette tilfælde tmp som denne:
maldet -a / tmp
FORSTØRRE
Med ethvert af disse værktøjer vil det være muligt at bevare integriteten af vores system og undgå tilstedeværelsen af malware eller rootkits.