11 Alati za skeniranje Linux poslužitelja zbog nedostataka sigurnosti i zlonamjernog softvera

Iako se sustavi koji se temelje na Linuxu često smatraju neprobojnima, i dalje postoje rizici koje treba shvatiti ozbiljno.


Rootkiti, virusi, ransomware i mnogi drugi štetni programi često mogu napadati i uzrokovati probleme Linux poslužiteljima.

Bez obzira na operativni sustav, poduzimanje sigurnosnih mjera je obavezno za poslužitelje. Veliki brendovi i organizacije uzeli su sigurnosne mjere u svoje ruke i razvili alate koji ne samo da otkrivaju nedostatke i zlonamjerni softver, već ih ispravljaju i poduzimaju preventivne mjere.

Srećom, postoje alati za nisku cijenu ili besplatno koji vam mogu pomoći u tom postupku. Oni mogu otkriti nedostatke u različitim odjeljcima poslužitelja temeljenog na Linuxu.

Lynis

Lynis je poznati sigurnosni alat i preferirana opcija za stručnjake u Linuxu. Također radi na sustavima koji se temelje na Unixu i macOS-u. Riječ je o softverskoj aplikaciji otvorenog koda koja se koristi od 2007. pod GPL licencom.

Lynis može otkriti sigurnosne rupe i nedostatke u konfiguraciji. Ali to nadilazi: umjesto samo izlaganja ranjivosti, predlaže korektivne radnje. Zbog toga je, radi dobivanja detaljnih revizorskih izvješća, potrebno pokrenuti ga na glavnom sustavu.

Instalacija nije potrebna za korištenje Lynisa. Možete ga izdvojiti iz preuzetog paketa ili tarball-a i pokrenuti ga. Možete ga dobiti i iz Git klona kako biste imali pristup cjelokupnoj dokumentaciji i izvornom kodu.

Lynis je stvorio izvorni autor Rkhuntera, Michael Boelen. Ima dvije vrste usluga temeljene na pojedincima i poduzećima. U oba slučaja ima izvanredne performanse.

chkrootkit

Kao što ste možda već pogodili, chkrootkit je alat za provjeru postojanja rootkita. Rootkits su vrsta zloćudnog softvera koji poslužitelju može dati pristup neovlaštenom korisniku. Ako imate poslužitelj sa sustavom Linux, rootkiti mogu biti problem.

chkrootkit je jedan od najčešće korištenih Unix programa koji može otkriti rootkite. Za otkrivanje problema koristi se “žice” i “grep” (naredbe alata Linux).

Može se koristiti i iz alternativnog kataloga ili s spasilačkog diska, u slučaju da želite da potvrdi već ugroženi sustav. Različite komponente Chkrootkita vode računa o traženju izbrisanih unosa u datotekama “wtmp” i “lastlog”, pronalaženju sniffer zapisa ili konfiguracijskih datoteka rootkita i provjeri skrivenih unosa u “/ proc” ili pozivima u program “readdir”..

Za upotrebu chkrootkita trebali biste dobiti najnoviju verziju s poslužitelja, izvaditi izvorne datoteke, sastaviti ih i spremni ste za rad.

Rkhunter

Programer Micheal Boelen bio je osoba koja stoji iza izrade Rkhunter (Rootkit Hunter) 2003. Prikladan je alat za POSIX sustave i može pomoći u otkrivanju rootkita i drugih ranjivosti. Rkhunter temeljito prolazi kroz datoteke (bilo skrivene ili vidljive), zadane direktorije, kernel module i pogrešno konfigurirane dozvole.

Nakon rutinske provjere uspoređuje ih sa sigurnim i pravilnim zapisima baza podataka i traži sumnjive programe. Budući da je program napisan na Bash-u, ne može se pokretati samo na Linux strojevima, već i na praktički bilo kojoj verziji Unixa.

ClamAV

Napisana na C++, ClamAV je otvoreni izvorni antivirus koji vam može pomoći u otkrivanju virusa, trojana i mnogih drugih vrsta zlonamjernog softvera. To je potpuno besplatan alat, zato ga mnogi koriste za skeniranje svojih osobnih podataka, uključujući e-poštu, za bilo kakve zlonamjerne datoteke. Također značajno služi kao skener na strani poslužitelja.

Alat je u početku razvijen, posebno za Unix. Ipak, on ima verzije trećih strana koje se mogu koristiti na Linuxu, BSD, AIX, macOS, OSF, OpenVMS i Solaris. Clam AV vrši automatsko i redovito ažuriranje svoje baze podataka kako bi mogao otkriti i najnovije prijetnje. Omogućuje skeniranje naredbenog retka, a ima višeslojni skalabilni demon za poboljšanje brzine skeniranja.

Može prolaziti kroz različite vrste datoteka radi otkrivanja ranjivosti. Podržava sve vrste komprimiranih datoteka, uključujući RAR, Zip, Gzip, Tar, Kabinet, OLE2, CHM, SIS format, BinHex i gotovo bilo koju vrstu sustava e-pošte.

LMD

Otkrivanje zlonamjernog softvera Linux – ili, ukratko, LMD je još jedan poznati antivirus za Linux sustave, posebno dizajniran oko prijetnji koje se obično nalaze u host okruženjima. Kao i mnogi drugi alati koji mogu otkriti zlonamjerni softver i rootkite, LMD koristi bazu podataka potpisa da bi pronašao bilo koji zlonamjerni pokretački kod i brzo ga ukinuo..

LMD se ne ograničava na vlastitu bazu podataka potpisa. To može utjecati na ClamAV i Team Cymru baze podataka da bi pronašli još više virusa. Da napuni svoju bazu podataka, LMD bilježi podatke o prijetnji iz mrežnih sustava za otkrivanje upada. Time je sposoban stvoriti nove potpise za zlonamjerni softver koji se aktivno koristi u napadima.

LMD se može koristiti putem naredbenog retka “maldet”. Alat je posebno izrađen za Linux platforme i može se lako pretraživati ​​putem Linux poslužitelja.

Radare2

Radare2 (R2) je okvir za analizu binarnih datoteka i izvođenje obrnutog inženjeringa s izvrsnim sposobnostima otkrivanja. Može otkriti pogrešno oblikovane binarne datoteke, dajući korisniku alate za upravljanje njima, neutralizirajući potencijalne prijetnje. Koristi sdb, koji je NoSQL baza podataka. Istraživači softverske sigurnosti i programeri softvera vole ovaj alat zbog izvrsne mogućnosti prezentacije podataka.

Jedna od izvanrednih značajki Radare2 je ta što korisnik nije prisiljen koristiti naredbenu liniju za obavljanje zadataka kao što su statička / dinamička analiza i iskorištavanje softvera. Preporučuje se za bilo koju vrstu istraživanja binarnih podataka.

OpenVAS

Otvoreni sustav procjene ranjivosti ili OpenVAS, je hosting sustav za skeniranje ranjivosti i upravljanje njima. Dizajniran je za tvrtke svih veličina, pomažu im u otkrivanju sigurnosnih problema skrivenih u njihovoj infrastrukturi. U početku je proizvod bio poznat kao GNessUs, sve dok njegov trenutni vlasnik Greenbone Networks nije promijenio ime u OpenVAS.

Od verzije 4.0, OpenVAS omogućava kontinuirano ažuriranje – uobičajeno u razdobljima kraćim od 24 sata – baze Mreže testiranja ranjivosti (NVT). Od lipnja 2016. imao je više od 47.000 NVT-a.

Sigurnosni stručnjaci koriste OpenVAS zbog njegove mogućnosti brzog skeniranja. Također ima i izvrsnu konfiguraciju. Programi OpenVAS mogu se koristiti s samostalnog virtualnog stroja za istraživanje sigurnih zlonamjernih softvera. Njegov izvorni kod dostupan je pod GNU GPL licencom. Mnogi drugi alati za otkrivanje ranjivosti ovise o OpenVAS-u – zato se uzima kao bitan program na Linux platformama.

REMnux

REMnux koristi obrnute metode za analizu zlonamjernog softvera. Može otkriti mnoge probleme temeljene na pregledniku, skrivene u skrivenim JavaScript isječcima isječaka koda i Flash appleta. Također je u mogućnosti skenirati PDF datoteke i izvoditi memorijske forenzike. Alat pomaže u otkrivanju zlonamjernih programa unutar mapa i datoteka koje se ne mogu lako skenirati s drugim programima za otkrivanje virusa..

Učinkovit je zbog mogućnosti dekodiranja i obrnutog inženjeringa. Može odrediti svojstva sumnjivih programa, a budući da su lagani, pametni zlonamjerni programi vrlo su lako prepoznati. Može se koristiti i na Linuxu i u Windows-u, a njegova se funkcionalnost može poboljšati uz pomoć drugih alata za skeniranje.

Tigar

1992. Texas A&M Sveučilište je započelo s radom na Tigar povećati sigurnost svojih računala na kampusu. Sada je to popularan program za Unix-ove platforme. Jedinstvena stvar ovog alata je da on nije samo alat za provjeru sigurnosti, već i sustav za otkrivanje provale.

Alat je slobodan za upotrebu pod GPL licencom. To ovisi o POSIX alatima i zajedno mogu stvoriti savršen okvir koji može značajno povećati sigurnost vašeg poslužitelja. Tigar je u cijelosti napisan na jeziku školjke – to je jedan od razloga njegove učinkovitosti. Prikladan je za provjeru statusa i konfiguracije sustava, a njegova višenamjenska uporaba čini ga vrlo popularnim među ljudima koji koriste POSIX alate.

Maltrail

Maltrail je sustav za otkrivanje prometa koji može održavati promet vašeg poslužitelja čistim i pomoći mu u izbjegavanju bilo kakvih zlonamjernih prijetnji. Taj zadatak obavlja tako što uspoređuje izvore prometa s web lokacijama na crnom popisu objavljenim na mreži.

Osim provjere mjesta na crnoj listi, koristi i napredne heurističke mehanizme za otkrivanje različitih vrsta prijetnji. Iako je izborna značajka, korisno vam je kad mislite da je vaš poslužitelj već napadnut.

Ima senzor koji može otkriti promet koji dobiva poslužitelj i slati podatke na Maltrail poslužitelj. Sustav za otkrivanje provjerava je li promet dovoljno dobar za razmjenu podataka između poslužitelja i izvora.

Yara

Napravljeno za Linux, Windows i macOS, Yara (Još jedna smiješna kratica) jedan je od najvažnijih alata koji se koristi za istraživanje i otkrivanje zlonamjernih programa. Koristi tekstualne ili binarne uzorke kako bi pojednostavio i ubrzao postupak otkrivanja, što rezultira brzim i jednostavnim zadatkom.

YARA ima neke dodatne značajke, ali za njihovo korištenje vam je potrebna knjižnica OpenSSL. Iako nemate tu biblioteku, možete koristiti YARA za osnovno istraživanje zlonamjernog softvera putem mehanizma temeljenog na pravilima. Također se može koristiti u kutiji za kukavicu Cuckoo, na pijesku temeljenom na Pythonu, idealnom za sigurno istraživanje zlonamjernog softvera.

Kako odabrati najbolji alat?

Svi alati koje smo gore spomenuli djeluju vrlo dobro, a kada je alat popularan u Linux okruženjima, možete biti prilično sigurni da ga koriste tisuće iskusnih korisnika. Jedna stvar koju bi administratori sustava trebali upamtiti je da svaka aplikacija obično ovisi o drugim programima. Primjerice, to je slučaj s ClamAV-om i OpenVAS-om.

Morate shvatiti što vam sustav treba i u kojim područjima može imati ranjivosti. Prvo, pomoću laganog alata istražite na koji odjeljak treba obratiti pažnju. Zatim koristite odgovarajući alat za rješavanje problema.

OZNAKE:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map