助你查找惡意軟件、病毒和rootkit的三款掃描工具
譯文【51CTO.com快譯】連接到互聯(lián)網(wǎng)的服務(wù)器整天都看到不斷的攻擊和掃描。雖然防火墻和定期的系統(tǒng)更新是確保系統(tǒng)安全的第一道防線,但你還是應(yīng)該定期檢查,確保沒有攻擊者闖入進(jìn)來。本教程中介紹的幾款工具就是為這種完整性檢查而開發(fā)的,它們可以掃描查找惡意軟件、病毒和rootkit。它們應(yīng)該可以定期運(yùn)行(比如說每晚運(yùn)行),通過電子郵件將報(bào)告發(fā)給你。如果你看到可疑活動,比如負(fù)載大、可疑進(jìn)程或者服務(wù)器突然開始發(fā)送惡意軟件時(shí),還可以使用Chkrootkit、Rkhunter和ISPProtect來掃描系統(tǒng)。
所有這些掃描工具都必須以root用戶的身份來運(yùn)行。以root用戶的身份登錄后繼續(xù)下一步,或者在Ubuntu上運(yùn)行“sudo su”,成為root用戶。
Chkrootkit――Linux rootkit掃描工具
Chkrootkit是一款典型的rootkit掃描工具。它會檢查你的服務(wù)器,查找可疑的rootkit進(jìn)程,并檢查已知的rootkit文件列表。
或者安裝發(fā)行版隨帶的程序包(在Debian和Ubuntu上,你要運(yùn)行),
apt-get install chkrootkit
或者從www.chkrootkit.org下載源代碼,手動安裝:
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar xvfz chkrootkit.tar.gz cd chkrootkit-*/ make sense
之后,你可以將chkrootkit目錄移到別的某個(gè)地方,比如/usr/local/chkrootkit:
cd .. mv chkrootkit-/ /usr/local/chkrootkit
并創(chuàng)建一個(gè)符號鏈接(symlink),以便易于訪問:
ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit
想用chkrootkit來檢查你的服務(wù)器,運(yùn)行這個(gè)命令:
chkrootkit
一個(gè)常見的誤報(bào)報(bào)告是:
Checking `bindshell'... INFECTED (PORTS: 465)
如果你在電子郵件服務(wù)器上收到這個(gè)消息,用不著擔(dān)心,這是你郵件系統(tǒng)的SMTPS(安全SMTP)端口和一個(gè)眾所周知的誤報(bào)。
你甚至可以通過計(jì)劃任務(wù)(cron job)來運(yùn)行chkrootkit,讓結(jié)果通過電子郵件發(fā)給你。首先,使用下面這個(gè)命令,找到chkrootkit安裝在服務(wù)器上的路徑:
which chkrootkit
示例:
root@server1:/tmp/chkrootkit-0.50# which chkrootkit /usr/sbin/chkrootkit
Chkrootkit安裝在/usr/sbin/chkrootkit路徑上,我們需要在下面的cron這一行有這個(gè)路徑:
運(yùn)行:
crontab -e
想創(chuàng)建就像這樣的計(jì)劃任務(wù):
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.com)
這會在每晚3點(diǎn)運(yùn)行chkrootkit。將chkrootkit路徑換成你從上述命令獲得的那條路徑,并將電子郵件地址換成你的實(shí)際地址。
Lynis――通用的安全審查工具和rootkit掃描工具
Lynis(之前名為rkhunter)是一款安全審查工具,面向基于Linux和BSD的系統(tǒng)。它可以詳細(xì)地審查你系統(tǒng)的許多安全方面和配置。從https://cisofy.com/download/lynis/下載最新的Lynis源代碼:
cd /tmp wget https://cisofy.com/files/lynis-2.1.1.tar.gz tar xvfz lynis-2.1.1.tar.gz mv lynis /usr/local/ ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
這會將lynis安裝到目錄/usr/local/lynis,并創(chuàng)建一個(gè)符號鏈接,以便易于訪問。現(xiàn)在運(yùn)行:
lynis update info
檢查你是否用的是最新版本。
現(xiàn)在,你可以運(yùn)行這個(gè)命令,掃描系統(tǒng)查找rootkit:
lynis audit system
Lynis會執(zhí)行幾次檢測,然后停下來讓你有時(shí)間來閱讀結(jié)果。按回車鍵即可繼續(xù)掃描。
Lynis系統(tǒng)審查。
最后,它會顯示掃描摘要。
Lynis的結(jié)果。
想以非交互方式運(yùn)行Lynis,使用--quick選項(xiàng)來啟動它:
lynis --quick
想在晚間自動運(yùn)行Lynis,創(chuàng)建就像這樣的計(jì)劃任務(wù):
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" you@yourdomain.com)
這會在每晚3點(diǎn)運(yùn)行l(wèi)ynis。將電子郵件地址換成你的實(shí)際地址。
ISPProtect――網(wǎng)站惡意軟件掃描工具
ISPProtect是一款面向網(wǎng)站服務(wù)器的惡意軟件掃描工具,它可以掃描網(wǎng)站文件和內(nèi)容管理系統(tǒng)(CMS)系統(tǒng)(比如Wordpress、Joomla和Drupal等)中的惡意軟件。如果你運(yùn)行一個(gè)網(wǎng)站托管服務(wù)器,那么托管的網(wǎng)站是你服務(wù)器中受到攻擊次數(shù)最多的部分,所以建議定期對它們執(zhí)行完整性檢查。ISPProtect包含3種掃描引擎:基于特征的惡意軟件掃描工具、啟發(fā)式惡意軟件掃描工具,以及顯示過時(shí)CMS系統(tǒng)的安裝目錄的掃描工具。ISPProtect不是免費(fèi)軟件,不過有一個(gè)免費(fèi)試用版可以使用,不需要注冊即可試用,或者清除被感染的系統(tǒng)。
ISPProtect需要PHP安裝到服務(wù)器上,PHP應(yīng)該安裝在大多數(shù)托管系統(tǒng)上。萬一你沒有安裝命令行PHP,可以在Debian或Ubuntu上執(zhí)行:
apt-get install php5-cli
或者在Fedora和CentOS上執(zhí)行:
yum install php
運(yùn)行下列命令來安裝ISPProtect。
mkdir -p /usr/local/ispprotect chown -R root:root /usr/local/ispprotect chmod -R 750 /usr/local/ispprotect cd /usr/local/ispprotect wget http://www.ispprotect.com/download/ispp_scan.tar.gz tar xzf ispp_scan.tar.gz rm -f ispp_scan.tar.gz ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan
想啟動ISPProtect,運(yùn)行:
ispp_scan
該掃描工具會自動檢查更新版,然后要求輸入密鑰(在此輸入單詞“trial”),然后要求輸入網(wǎng)站路徑,通常是thats /var/www。
ISPProtect惡意軟件掃描。
Please enter scan key: <-- trial Please enter path to scan: <-- /var/www
掃描工具現(xiàn)在會開始掃描,顯示了掃描進(jìn)度。掃描結(jié)束后,被感染文件的名稱顯示在屏幕上,結(jié)果存儲在ISPProtect安裝目錄的文件中,供以后使用:
After the scan is completed, you will find the results also in the following files: Malware => /usr/local/ispprotect/found_malware_20161401174626.txt Wordpress => /usr/local/ispprotect/software_wordpress_20161401174626.txt Joomla => /usr/local/ispprotect/software_joomla_20161401174626.txt Drupal => /usr/local/ispprotect/software_drupal_20161401174626.txt Mediawiki => /usr/local/ispprotect/software_mediawiki_20161401174626.txt Contao => /usr/local/ispprotect/software_contao_20161401174626.txt Magentocommerce => /usr/local/ispprotect/software_magentocommerce_20161401174626.txt Woltlab Burning Board => /usr/local/ispprotect/software_woltlab_burning_board_20161401174626.txt Cms Made Simple => /usr/local/ispprotect/software_cms_made_simple_20161401174626.txt Phpmyadmin => /usr/local/ispprotect/software_phpmyadmin_20161401174626.txt Typo3 => /usr/local/ispprotect/software_typo3_20161401174626.txt Roundcube => /usr/local/ispprotect/software_roundcube_20161401174626.txt Starting scan level 1 ...
想每晚作為計(jì)劃任務(wù)自動運(yùn)行ISPProtect,使用nano創(chuàng)建一個(gè)計(jì)劃任務(wù)文件:
nano /etc/cron.d/ispprotect
然后插入下面這一行:
0 3 * * * root /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=roo t@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD
將“root@localhost”換成你的電子郵件地址,掃描報(bào)告發(fā)送到這個(gè)地址。然后,將“AAA-BBB-CCC-DDD”換成你的許可證密鑰。你可以在此(http://ispprotect.com)獲得許可證密鑰。
原文標(biāo)題:Three tools to scan a Linux server for Malware and Rootkits
【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
