Selv om det sies mye om at Linux -operativsystemer ikke er sårbare for virusangrep, i dag med de økende truslene som oppstår og de forskjellige teknikkene som brukes uten tvil om at ingen systemer er 100% beskyttet, og derfor må vi ta de respektive sikkerhetstiltakene for å forhindre angrep og tyveri av sensitiv informasjon. Gitt dette har vi to trusler som er kritiske som malware og rootkit, malware og rootkits spesielt, de kan fungere på en integrert og komplett måte i Linux som de gjør i andre "usikre" operativsystemer.
Solvetic vil gjennomgå noen av de beste verktøyene for å skanne Linux -systemet etter skadelig programvare eller rootkits som kan kompromittere normal drift.
Hva er en rootkitEn rootkit er et slags verktøy som har makt til å handle uavhengig, eller være sammen med en hvilken som helst variant av ondsinnet kode hvis hovedmål er å skjule formålene for brukere og systemadministratorer.
Den grunnleggende oppgaven til et rootkit er å skjule informasjon knyttet til prosesser, nettverkstilkoblinger, filer, kataloger, privilegier, men den kan legge til funksjoner som bakdør eller bakdør for å gi permanent tilgang til systemet eller benytte keyloggerne hvis oppgaven er å fange opp tastetrykk som setter brukeraktiviteter i fare.
Det finnes forskjellige typer rootkit, for eksempel:
Rootkit i brukerplassDenne typen rootkit kjører direkte i brukerområdet på samme nivå som andre applikasjoner og binære filer, oppgaven er å erstatte legitime systemkjørbare filer med andre som er endret, slik at informasjonen de gir manipuleres for negative formål.. Blant de viktigste binære filene som blir angrepet av rootkit har vi ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, kl. og mer.
Rootkit i kjerneplassDet er en av de farligste siden du i dette tilfellet kan få tilgang til systemet og få superbrukerrettigheter for å installere et rootkit i kjernemodus og på denne måten oppnå total kontroll over systemet, og dermed integreres i systemet, oppdagelsen deres vil være mye mer kompleks siden de går til et høyere privilegiumnivå med tillatelser til å modifisere og modifisere ikke bare binærfiler, men også funksjoner og anrop til operativsystemet.
BootkitsDisse har muligheten til å legge til oppstartsfunksjoner til rootkits, og fra denne moden påvirker systemets fastvare og diskoppstartssektorer.
Hva er skadelig programvareMalware (skadelig programvare), er i utgangspunktet et program som har funksjonen til å skade et system eller forårsake en feil både i systemet og i programmene som er installert der, i denne gruppen finner vi virus, trojanere (trojanere), ormer (orm), keyloggers, Botnets, Ransomwares, Spyware, Adware, Rogues og mange flere.
Malware har forskjellige tilgangsstier hvor den kan settes inn i systemet, for eksempel:
- Sosiale medier
- Svindel nettsteder
- Infiserte USB -enheter / CDer / DVDer
- Vedlegg i uoppfordret e -post (spam)
Nå vil vi se de beste verktøyene for å oppdage disse truslene og fortsette korreksjonen.
Lynis
Lynis er et sikkerhetsverktøy designet for systemer som kjører Linux, macOS eller et Unix-basert operativsystem.
Dens rolle er å utføre en omfattende systemhelseskanning for å støtte systemherding og kjøre de nødvendige samsvarstestene for å utelukke trusler. Lynis er GPL -lisensiert åpen kildekode -programvare og har vært tilgjengelig siden 2007.
HovedhandlingerHovedhandlingene er fokusert på:
- Sikkerhetsrevisjoner
- Samsvarstesting som PCI, HIPAA, SOx
- Penetrasjonstesting for å se intern sikkerhet
- Sårbarhetsdeteksjon
- Systemherding
For installasjonen vil vi først laste ned filen fra det offisielle nettstedet:
cd/opt/wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
FORSTØRRE
Vi trekker ut innholdet:
tjære xvzf lynis-2.6.6.tar.gz
FORSTØRRE
Til slutt flytter vi applikasjonen til riktig katalog:
mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynisLynis -skanning er basert på mulighet, det vil si at den bare vil bruke det som er tilgjengelig, for eksempel tilgjengelige verktøy eller biblioteker, og ved å bruke denne skannemetoden kan verktøyet kjøres med nesten ingen avhengigheter.
Hva dekker detAspektene Lynis dekker er:
- Initialisering og grunnleggende kontroller
- Bestem operativsystemet og tilhørende verktøy
- Søk etter tilgjengelige systemverktøy
- Bekreft Lynis -oppdateringen
- Kjør aktiverte plugins
- Kjør kategoribaserte sikkerhetstester
- Kjør tilpassede tester
- Rapportér status for sikkerhetsskanning
For å kjøre en fullstendig analyse av systemet utfører vi:
lynis revisjonssystem
FORSTØRRE
Der vil hele analyseprosessen starte, og til slutt vil vi se alle resultatene i kategorier:
FORSTØRRE
Det er mulig å aktivere driften av Lynis automatisk i et definert tidsintervall. For dette må vi legge til følgende cron -oppføring, som i dette tilfellet vil bli utført klokken 11 om natten og vil sende rapporter til den angitte e -postadressen :
0 23 * * * / usr / local / bin / lynis -hurtig 2> & 1 | mail -s "Lynis -rapport" [email protected]
Rkhunter
RKH (RootKit Hunter), er et gratis, åpen kildekode og brukervennlig verktøy som gjør det mulig å skanne bakdører, rootkits og lokale utnyttelser på POSIX-kompatible systemer, for eksempel Linux. Dens oppgave er å oppdage rootkits, siden det ble opprettet som et sikkerhetsovervåking og analyseverktøy som inspiserer systemet i detalj for å oppdage skjulte sikkerhetshull.
Rkhunter -verktøyet kan installeres ved hjelp av følgende kommando på Ubuntu og CentOS -baserte systemer:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)
FORSTØRRE
Vi skriver inn bokstaven S for å bekrefte nedlasting og installasjon av verktøyet. Når det er installert, kan vi overvåke systemet ved å utføre følgende:
sudo rkhunter -c
FORSTØRRE
Der vil prosessen med å analysere systemet på jakt etter farlige situasjoner fortsette:
FORSTØRRE
Der vil den analysere alle eksisterende rootkit -alternativer og kjøre ytterligere analysehandlinger på nettverket og andre elementer.
Chkrootkit
Chkrootkit er et annet av verktøyene som er utviklet for å bekrefte lokalt om det er rootkits, dette verktøyet inkluderer:
chkrootkitDet er et skallskript som sjekker systembinariene for rootkit -endring.
ifpromisc.cSjekk om grensesnittet er i promiskuøs modus
chklastlog.cKontroller sletting av siste logg
chkwtmp.cKontroller wtmp -sletting
check_wtmpx.cKontroller slettinger av wtmpx
chkproc.cSe etter tegn på LKM -trojanere
chkdirs.cSe etter tegn på LKM -trojanere
strenger. cRask og skitten kjedeskift
chkutmp.cSjekk utmp -slettinger
Chkrootkit kan installeres ved å kjøre:
sudo apt installere chkrootkit
FORSTØRRE
I tilfelle av CentOS må vi utføre:
yum oppdatering yum installer wget gcc -c ++ glibc -statisk wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir/usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit gir meningFor å kjøre dette verktøyet kan vi bruke et av følgende alternativer:
sudo chkrootkit / usr / local / chkrootkit / chkrootkit
FORSTØRRE
ClamAV
En annen av de velkjente løsningene for sårbarhetsanalyse i Linux er ClamAV som er utviklet som en åpen kildekode-antivirusmotor (GPL) som kan utføres for forskjellige handlinger, inkludert e-postskanning, nettskanning og websikkerhet. Siste punkt.
ClamAV tilbyr oss en rekke verktøy, inkludert en fleksibel og skalerbar flertrådet demon, en kommandolinjeskanner og et avansert verktøy for automatiske databaseoppdateringer.
FunksjonerBlant de mest fremragende funksjonene finner vi:
- Kommandolinjeskanner
- Milter -grensesnitt for sendmail
- Avansert databaseoppdaterer med støtte for scriptoppdateringer og digitale signaturer
- Integrert støtte for arkivformater som Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS og andre
- Konstant oppdatert virusdatabase
- Integrert støtte for alle standard e -postfilformater
- Integrert støtte for ELF -kjørbare filer og bærbare kjørbare filer pakket med UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack og skjult med SUE, Y0da Cryptor og andre
- Innebygd støtte for MS Office og MacOffice, HTML, Flash, RTF og PDF dokumentformater.
For å installere ClamAV skal vi utføre følgende kommando:
sudo apt installere clamav
FORSTØRRE
Vi skriver inn bokstaven S for å bekrefte nedlasting og installasjon av ClamAV.
Når det gjelder CentOS, kan vi utføre følgende:
yum -y oppdater yum -y installer clamavFor utførelsen av ClamAV skal vi utføre følgende:
sudo clamscan -r -i "Katalog"
FORSTØRRE
LMD - Linux Malware Detect
Linux Malware Detect (LMD) er utviklet som en malware -skanner for Linux under GNU GPLv2 -lisensen, hvis hovedfunksjon er å bruke trusseldata fra inntrengingsdeteksjonssystemer for å trekke ut skadelig programvare som brukes aktivt i angrep og kan generere signaturer for å oppdage disse truslene .
Signaturene som LMD bruker er MD5 -filhasjer og HEX -mønsterkamper, som også enkelt kan eksporteres til forskjellige deteksjonsverktøy som ClamAV.
funksjonerBlant dens egenskaper finner vi:
- Innebygd ClamAV-deteksjon som skal brukes som skannermotor for best resultat
- MD5 -filhashdeteksjon for rask trusselidentifikasjon
- Statistisk analysekomponent for trusseloppdagelse
- Innebygd versjonsoppdateringsfunksjon med -d
- Integrert signaturoppdateringsfunksjon med -u
- Daglig cron -skript kompatibel med RH-, Cpanel- og Ensim -stilsystemer
- Kernel inotify monitor som kan ta banedata fra STDIN eller FILE
- Daglig cron-basert skanning av alle endringer det siste døgnet til brukerlogger
- Gjenopprettingsalternativ for karantene for å gjenopprette filer til den opprinnelige banen, inkludert eier
- Alternativer for å ignorere regler basert på ruter, utvidelser og signaturer
For å installere LMD i Linux skal vi utføre følgende:
cd/tmp/curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2/bash install.sh
FORSTØRRE
Nå kan vi utføre ønsket katalog, i dette tilfellet tmp slik:
maldet -a / tmp
FORSTØRRE
Med noen av disse verktøyene vil det være mulig å bevare systemets integritet og unngå tilstedeværelse av skadelig programvare eller rootkits.