03/29/2024

11 instrumente pentru scanarea serverului Linux pentru defecte de securitate și programe malware

Chiar dacă sistemele bazate pe Linux sunt adesea considerate impenetrabile, există totuși riscuri care trebuie luate în serios.

Rootkit-urile, virușii, ransomware și multe alte programe dăunătoare pot ataca adesea și cauza probleme serverelor Linux.

Indiferent de sistemul de operare, luarea măsurilor de securitate este o necesitate pentru servere. Mărcile și organizațiile mari și-au luat măsurile de securitate în mâinile lor și au dezvoltat instrumente care nu numai că detectează defecte și programe malware, ci și le corectează și iau măsuri preventive.

Din fericire, există instrumente disponibile la un preț mic sau gratuit care pot ajuta la acest proces. Ele pot detecta defecte în diferite secțiuni ale unui server bazat pe Linux.

Lynis

Lynis este un instrument de securitate renumit și o opțiune preferată pentru experții în Linux. Funcționează și pe sisteme bazate pe Unix și macOS. Este o aplicație software open-source care a fost utilizată din 2007 sub o licență GPL.

Lynis este capabil să detecteze găurile de securitate și defecțiunile de configurare. Dar depășește asta: în loc să expună doar vulnerabilitățile, sugerează acțiuni corective. De aceea, pentru a obține rapoarte detaliate de audit, este necesar să îl rulați pe sistemul gazdă.

Instalarea nu este necesară pentru utilizarea Lynis. Îl puteți extrage dintr-un pachet descărcat sau dintr-un tarball și îl puteți rula. De asemenea, îl puteți obține dintr-o clonă Git pentru a avea acces la documentația completă și la codul sursă.

Lynis a fost creat de autorul original al cărții Rkhunter, Michael Boelen. Are două tipuri de servicii bazate pe persoane fizice și întreprinderi. În ambele cazuri, are o performanță remarcabilă.

Chkrootkit

După cum probabil ați ghicit deja, chkrootkit este un instrument de verificare a existenței rootkit-urilor. Rootkit-urile sunt un tip de software rău intenționat care poate oferi acces la server unui utilizator neautorizat. Dacă rulați un server bazat pe Linux, rootkit-urile pot fi o problemă.

chkrootkit este unul dintre cele mai utilizate programe bazate pe Unix care poate detecta rootkit-urile. Folosește „șiruri” și „grep” (comenzi pentru instrumentele Linux) pentru a detecta probleme.

Poate fi folosit fie dintr-un director alternativ, fie de pe un disc de salvare, în cazul în care doriți să verifice un sistem deja compromis. Diferitele componente ale Chkrootkit se ocupă de căutarea intrărilor șterse în fișierele „wtmp” și „lastlog”, de a găsi înregistrări sniffer sau fișiere de configurare rootkit și de a verifica intrările ascunse în „/proc” sau apelurile la programul „readdir”.

  Cum să utilizați Telegram în terminalul Linux cu Telegram-CLI

Pentru a utiliza chkrootkit, ar trebui să obțineți cea mai recentă versiune de pe un server, să extrageți fișierele sursă, să le compilați și sunteți gata de plecare.

Rkhunter

Dezvoltatorul Michael Boelen a fost persoana din spatele realizării Rkhunter (Rootkit Hunter) în 2003. Este un instrument potrivit pentru sistemele POSIX și poate ajuta la detectarea rootkit-urilor și a altor vulnerabilități. Rkhunter parcurge cu atenție fișierele (fie ascunse sau vizibile), directoarele implicite, modulele kernelului și permisiunile configurate greșit.

După o verificare de rutină, le compară cu înregistrările sigure și adecvate ale bazelor de date și caută programe suspecte. Deoarece programul este scris în Bash, poate rula nu numai pe mașini Linux, ci și pe aproape orice versiune de Unix.

ClamAV

Scris în C++, ClamAV este un antivirus open-source care poate ajuta la detectarea virușilor, troienilor și a multor alte tipuri de malware. Este un instrument complet gratuit, de aceea mulți oameni îl folosesc pentru a-și scana informațiile personale, inclusiv e-mailurile, pentru orice tip de fișiere rău intenționate. De asemenea, servește în mod semnificativ ca scaner pe partea de server.

Instrumentul a fost dezvoltat inițial, în special pentru Unix. Totuși, are versiuni terțe care pot fi utilizate pe Linux, BSD, AIX, macOS, OSF, OpenVMS și Solaris. Clam AV realizează o actualizare automată și regulată a bazei de date, pentru a putea detecta chiar și cele mai recente amenințări. Permite scanarea în linia de comandă și are un demon scalabil cu mai multe fire pentru a-și îmbunătăți viteza de scanare.

Poate trece prin diferite tipuri de fișiere pentru a detecta vulnerabilități. Suportă tot felul de fișiere comprimate, inclusiv RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, format SIS, BinHex și aproape orice tip de sistem de e-mail.

LMD

Linux Malware Detect – sau LMD, pe scurt – este un alt antivirus renumit pentru sistemele Linux, conceput special în jurul amenințărilor întâlnite de obicei în mediile găzduite. La fel ca multe alte instrumente care pot detecta malware și rootkit-uri, LMD folosește o bază de date de semnături pentru a găsi orice cod rău intenționat și pentru a-l termina rapid.

LMD nu se limitează la propria bază de date de semnături. Poate folosi bazele de date ClamAV și Team Cymru pentru a găsi și mai mulți viruși. Pentru a-și popula baza de date, LMD captează date despre amenințări din sistemele de detectare a intruziunilor de la marginea rețelei. Făcând acest lucru, este capabil să genereze noi semnături pentru malware care este utilizat în mod activ în atacuri.

LMD poate fi utilizat prin linia de comandă „maldet”. Instrumentul este creat special pentru platformele Linux și poate căuta cu ușurință prin serverele Linux.

  Cum se schimbă serverele DNS pentru o navigare mai rapidă în Linux, Windows și Mac?

Radare2

Radare2 (R2) este un cadru pentru analiza binarelor și efectuarea de inginerie inversă cu abilități excelente de detectare. Poate detecta fișierele binare malformate, oferind utilizatorului instrumentele pentru a le gestiona, neutralizând potențialele amenințări. Utilizează sdb, care este o bază de date NoSQL. Cercetătorii de securitate software și dezvoltatorii de software preferă acest instrument pentru capacitatea sa excelentă de prezentare a datelor.

Una dintre caracteristicile remarcabile ale Radare2 este că utilizatorul nu este forțat să folosească linia de comandă pentru a îndeplini sarcini precum analiza statică/dinamică și exploatarea software-ului. Este recomandat pentru orice tip de cercetare asupra datelor binare.

OpenVAS

Sistem deschis de evaluare a vulnerabilităților sau OpenVAS, este un sistem găzduit pentru scanarea vulnerabilităților și gestionarea acestora. Este conceput pentru companii de toate dimensiunile, ajutându-le să detecteze problemele de securitate ascunse în infrastructurile lor. Inițial, produsul a fost cunoscut sub numele de GNessUs, până când actualul său proprietar, Greenbone Networks, și-a schimbat numele în OpenVAS.

Începând cu versiunea 4.0, OpenVAS permite actualizarea continuă – de obicei în perioade mai mici de 24 de ore – a bazei sale Network Vulnerability Testing (NVT). În iunie 2016, avea peste 47.000 de NVT.

Experții în securitate folosesc OpenVAS datorită capacității sale de a scana rapid. De asemenea, are o configurabilitate excelentă. Programele OpenVAS pot fi utilizate de la o mașină virtuală autonomă pentru a efectua cercetări sigure asupra malware-ului. Codul său sursă este disponibil sub o licență GNU GPL. Multe alte instrumente de detectare a vulnerabilităților depind de OpenVAS – de aceea este considerat un program esențial în platformele bazate pe Linux.

REMnux

REMnux utilizează metode de inginerie inversă pentru analiza programelor malware. Poate detecta multe probleme bazate pe browser, ascunse în fragmentele de cod JavaScript ofucate și applet-urile Flash. De asemenea, este capabil să scaneze fișiere PDF și să efectueze analize criminalistice ale memoriei. Instrumentul ajută la detectarea programelor rău intenționate din foldere și fișiere care nu pot fi scanate cu ușurință cu alte programe de detectare a virușilor.

Este eficient datorită capacităților sale de decodare și de inginerie inversă. Poate determina proprietățile programelor suspecte și, pentru că este ușor, este foarte mult nedetectabil de programele inteligente rău intenționate. Poate fi folosit atât pe Linux, cât și pe Windows, iar funcționalitatea sa poate fi îmbunătățită cu ajutorul altor instrumente de scanare.

Tigru

În 1992, Universitatea Texas A&M a început să lucreze Tigru pentru a crește securitatea computerelor din campusul lor. Acum, este un program popular pentru platformele asemănătoare Unix. Un lucru unic despre instrument este că nu este doar un instrument de audit de securitate, ci și un sistem de detectare a intruziunilor.

  Cum să descărcați podcasturi de pe terminalul Linux cu Podfox

Instrumentul poate fi utilizat gratuit sub o licență GPL. Depinde de instrumentele POSIX și împreună pot crea un cadru perfect care poate crește în mod semnificativ securitatea serverului dumneavoastră. Tiger este scris în întregime pe limbajul cochiliei – acesta este unul dintre motivele eficienței sale. Este potrivit pentru verificarea stării și configurației sistemului, iar utilizarea sa multifuncțională îl face foarte popular în rândul persoanelor care folosesc instrumentele POSIX.

Maltrail

Maltrail este un sistem de detectare a traficului capabil să mențină curat traficul serverului tău și să-l ajute să evite orice fel de amenințări rău intenționate. Îndeplinește această sarcină comparând sursele de trafic cu site-urile pe lista neagră publicate online.

Pe lângă verificarea site-urilor aflate pe lista neagră, folosește și mecanisme euristice avansate pentru detectarea diferitelor tipuri de amenințări. Chiar dacă este o caracteristică opțională, este utilă atunci când crezi că serverul tău a fost deja atacat.

Are un senzor capabil să detecteze traficul pe care îl primește un server și să trimită informațiile către serverul Maltrail. Sistemul de detectare verifică dacă traficul este suficient de bun pentru a face schimb de date între un server și sursă.

YARA

Realizat pentru Linux, Windows și macOS, YARA (Yet Another Ridiculous Acronym) este unul dintre cele mai esențiale instrumente utilizate pentru cercetarea și detectarea programelor rău intenționate. Utilizează modele textuale sau binare pentru a simplifica și accelera procesul de detectare, rezultând o sarcină rapidă și ușoară.

YARA are unele caracteristici suplimentare, dar aveți nevoie de biblioteca OpenSSL pentru a le folosi. Chiar dacă nu aveți această bibliotecă, puteți utiliza YARA pentru cercetarea de bază a malware-ului printr-un motor bazat pe reguli. Poate fi folosit și în Cuckoo Sandbox, un sandbox bazat pe Python, ideal pentru a efectua cercetări în siguranță a software-ului rău intenționat.

Cum să alegi cel mai bun instrument?

Toate instrumentele pe care le-am menționat mai sus funcționează foarte bine și, atunci când un instrument este popular în mediile Linux, puteți fi destul de sigur că mii de utilizatori experimentați îl folosesc. Un lucru pe care administratorii de sistem ar trebui să-l rețină este că fiecare aplicație depinde de obicei de alte programe. De exemplu, acesta este cazul ClamAV și OpenVAS.

Trebuie să înțelegeți de ce are nevoie sistemul dvs. și în ce zone poate avea vulnerabilități. În primul rând, utilizați un instrument ușor pentru a căuta secțiunea care necesită atenție. Apoi utilizați instrumentul adecvat pentru a rezolva problema.