掃描Linux服務器查找惡意軟件和rootkit的5款工具
譯文【51CTO.com快譯】針對Linux服務器的攻擊和端口掃描從未停過;雖然正確配置的防火墻和安全系統定期更新增添了額外的一層防線以確保系統安全,但是還應該經常觀察是否有人潛入。這還有助于確保服務器遠離任何旨在破壞其正常運行的程序。
本文介紹的工具是為這些安全掃描開發的,它們能夠識別諸多病毒、惡意軟件、rootkit和惡意行為。你可以使用這些工具定期(比如每晚)掃描系統,通過郵件將掃描報告發送到你的電子郵件地址。
1. Lynis:安全審計和rootkit掃描工具
Lynis是一款免費、開源、功能強大且備受歡迎的安全審計和掃描工具,適用于類似Unix/Linux的操作系統。它是一款惡意軟件掃描和漏洞檢測工具,可掃描系統、查找安全信息、問題、文件完整性及配置錯誤,執行防火墻審查、檢查已安裝的軟件以及文件/目錄權限等等。
然而重要的是,它并不自動執行任何系統加固,只是提供讓你能夠加固服務器的建議。
我們將使用以下命令從源代碼安裝最新版本的Lynis(即2.6.6)。
現在,可以使用以下命令執行系統掃描。
- # cd /opt/
- # wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
- # tar xvzf lynis-2.6.6.tar.gz
- # mv lynis /usr/local/
- # ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
現在,可以用以下命令執行系統掃描。
- # lynis audit system
Lynis Linux安全審計工具
想在每晚自動運行Lynis,請添加以下cron條目,該條目將在凌晨3點運行掃描,并將報告發送到電子郵件地址。
- 0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" you@yourdomain.com
2. Chkrootkit:Linux rootkit掃描工具
Chkrootkit是另一款免費的開源rootkit檢測工具,可以在類似Unix的系統上本地查找rootkit的跡象。它有助于檢測隱藏的安全漏洞。Chkrootkit軟件包包含檢查系統二進制代碼以尋找rootkit篡改的shell腳本和檢查各種安全問題的諸多程序。
可以在基于Debian的系統上使用以下命令安裝chkrootkit工具。
- $ sudo apt install chkrootkit
在基于CentOS的系統,你需要使用以下命令從源代碼安裝它。
- # yum update
- # yum install wget gcc-c++ glibc-static
- # wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
- # tar –xzf chkrootkit.tar.gz
- # mkdir /usr/local/chkrootkit
- # mv chkrootkit-0.52/* /usr/local/chkrootkit
- # cd /usr/local/chkrootkit
- # make sense
想用Chkrootkit檢查服務器,請運行以下命令。
- $ sudo chkrootkit
或者:
- # /usr/local/chkrootkit/chkrootkit
一旦運行,它會開始檢查系統、尋找已知的惡意軟件和rootkit;掃描完畢后,可以看到報告摘要。
想在每天晚上自動運行Chkrootkit,添加以下cron條目,該條目將在凌晨3點運行掃描,并將報告發送到電子郵件地址。
- 0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com
3. Rkhunter:Linux rootkit掃描工具
RKH(RootKit Hunter)是一款免費、開源、功能強大、易于使用、眾所周知的工具,可用于掃描與POSIX兼容的系統(比如Linux)上的后門、rootkit和本地漏洞。顧名思義,它是一款rootkit查找、安全監控和分析工具,可全面檢查系統,查找隱藏的安全漏洞。
可在基于Ubuntu和CentOs的系統上使用以下命令安裝rkhunter工具。
- $ sudo apt install rkhunter
- # yum install epel-release
- # yum install rkhunter
想用rkhunter檢查服務器,請運行以下命令。
- # rkhunter -c
想在每天晚上自動運行rkhunter,添加以下cron條目,該條目將在凌晨3點運行掃描,并將報告發送到電子郵件地址。
- 0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com
鏈接:https://sourceforge.net/p/rkhunter/wiki/index/
4. ClamAV:反病毒軟件工具包
ClamAV是一款開源、用途廣泛、備受歡迎的跨平臺反病毒引擎,可檢查計算機上的諸多病毒、惡意軟件、特洛伊木馬及其他惡意程序。它是面向Linux的最出色的免費反病毒軟件之一,也是郵件網關掃描軟件的開源標準,支持幾乎所有的郵件文件格式。
它支持在所有系統上的病毒數據庫更新,并支持只針對Linux的即時(on-access)掃描。此外,它可以在歸檔和壓縮文件里面掃描,支持Zip、Tar、7Zip和Rar等格式,還有其他功能。
可在基于Debian的系統上使用以下命令安裝ClamAV。
- $ sudo apt-get install clamav
可在基于CentOS的系統上使用以下命令安裝ClamAV。
- # yum -y update
- # yum -y install clamav
一旦安裝完畢可以用以下命令來更新病毒特征和掃描目錄。
- # freshclam
- # clamscan -r -i DIRECTORY
DIRECTORY是待掃描的位置。選項-r意味著遞歸掃描,-i意味著只顯示被感染的文件。
5. LMD:Linux惡意軟件檢測工具
LMD(Linux Malware Detect)是一款開源、功能強大、特性完備的惡意軟件掃描工具,面向Linux,專門針對共享的主機環境設計,但也可以用來檢測任何Linux系統上的威脅。它可與ClamAV掃描器引擎整合起來,以提升性能。
它提供了全面報告系統,可查看當前和以往的掃描結果、支持每次掃描執行后通過郵件發送提醒報告以及其他實用功能。
鏈接:https://www.rfxn.com/projects/linux-malware-detect/
我們在上面介紹了掃描Linux服務器、查找惡意軟件和rootkit的5款工具。歡迎留言交流!
原文標題:5 Tools to Scan a Linux Server for Malware and Rootkits,作者:Aaron Kili
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
