11 Orodja za skeniranje Linux strežnika zaradi varnostnih napak in zlonamerne programske opreme

Čeprav se sistemi, ki temeljijo na Linuxu, pogosto veljajo za neopazne, še vedno obstajajo tveganja, ki jih je treba jemati resno.


Rootkiti, virusi, ransomware in številni drugi škodljivi programi lahko pogosto napadajo in povzročajo težave strežnikom Linux.

Ne glede na operacijski sistem je sprejemanje varnostnih ukrepov nujno za strežnike. Velike blagovne znamke in organizacije so v svoje roke vzele varnostne ukrepe in razvile orodja, ki ne le odkrijejo pomanjkljivosti in zlonamerno programsko opremo, ampak jih tudi odpravijo in preventivno ukrepajo.

Na srečo so na voljo orodja za nizko ceno ali brezplačno, ki vam lahko pomagajo pri tem postopku. Na različnih odsekih strežnika, ki temelji na Linuxu, lahko zaznajo pomanjkljivosti.

Lynis

Lynis je znano varnostno orodje in najprimernejša možnost za strokovnjake v Linuxu. Deluje tudi na sistemih, ki temeljijo na Unixu in macOS-u. Gre za programsko opremo z odprto kodo, ki se od leta 2007 uporablja pod licenco GPL.

Lynis lahko odkrije varnostne luknje in napake v konfiguraciji. Vendar presega to: namesto da bi le izpostavljali ranljivosti, predlaga korektivne ukrepe. Zato je za pridobitev podrobnih revizijskih poročil potrebno zagnati sistem gostitelja.

Za uporabo Lynisa namestitev ni potrebna. Izvlečete ga lahko iz naloženega paketa ali tarča in ga zaženete. Lahko ga dobite tudi iz klona Git, da imate dostop do celotne dokumentacije in izvorne kode.

Lynis je ustvaril izvirni avtor Rkhunterja Michael Boelen. Ima dve vrsti storitev, ki temeljijo na posameznikih in podjetjih. V obeh primerih ima izjemno uspešnost.

Chkrootkit

Kot ste morda že uganili, je chkrootkit je orodje za preverjanje obstoja rootkitov. Rootkits so vrsta škodljive programske opreme, ki lahko strežniku omogoči dostop nepooblaščenim uporabnikom. Če imate nameščen strežnik, ki temelji na Linuxu, so lahko rootkiti težava.

chkrootkit je eden najpogosteje uporabljanih programov na Unixu, ki lahko zazna rootkite. Za odkrivanje težav uporablja ‘strune’ in ‘grep’ (ukazi orodja Linux).

Uporabite ga lahko iz alternativnega imenika ali iz reševalnega diska, če želite, da preveri že ogrožen sistem. Različne komponente Chkrootkita skrbijo za iskanje izbrisanih vnosov v datotekah “wtmp” in “lastlog”, iskanje zapisov o snifferju ali konfiguracijskih datotek rootkita in preverjanje skritih vnosov v “/ proc” ali klicev v program “readdir”.

Če želite uporabljati chkrootkit, bi morali dobiti strežnik najnovejšo različico, izvleči izvorne datoteke, jih sestaviti in ste pripravljeni na začetek.

Rkhunter

Razvijalec Micheal Boelen je bil tisti, ki stoji za izdelavo Rkhunter (Rootkit Hunter) leta 2003. Je primerno orodje za sisteme POSIX in lahko pomaga pri odkrivanju rootkitov in drugih ranljivosti. Rkhunter temeljito pregleduje datoteke (bodisi skrite ali vidne), privzete imenike, module jedra in napačno konfigurirana dovoljenja.

Po rutinskem pregledu jih primerja z varnimi in ustreznimi zapisi podatkovnih baz in išče sumljive programe. Ker je program napisan v Bashu, ne more delovati samo na računalnikih Linux, ampak tudi na praktično kateri koli različici Unixa.

ClamAV

Spisano v C++, ClamAV je odprtokodni protivirusni program, ki lahko pomaga pri odkrivanju virusov, trojanov in mnogih drugih vrst zlonamerne programske opreme. Je popolnoma brezplačno orodje, zato ga veliko ljudi uporablja za skeniranje svojih osebnih podatkov, vključno z e-poštnimi sporočili, za kakršne koli zlonamerne datoteke. Pomembno služi tudi kot skener na strani strežnika.

Orodje je bilo na začetku razvito, zlasti za Unix. Kljub temu ima zunanje različice, ki jih je mogoče uporabljati v Linuxu, BSD, AIX, macOS, OSF, OpenVMS in Solaris. Clam AV samodejno in redno posodablja svojo bazo podatkov, da lahko zazna tudi najnovejše grožnje. Omogoča skeniranje v ukazni vrstici in ima več-navojni prilagodljiv demon za izboljšanje hitrosti skeniranja.

Zaznava lahko ranljivosti skozi različne vrste datotek. Podpira vse vrste stisnjenih datotek, vključno z RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, format SIS, BinHex in skoraj vse vrste e-poštnih sistemov.

LMD

Zaznavanje škodljive programske opreme Linux – skratka LMD – je še en priznan antivirus za sisteme Linux, zasnovan posebej za grožnje, ki jih običajno najdemo v gostujočih okoljih. Tako kot mnoga druga orodja, ki lahko zaznajo zlonamerno programsko opremo in rootkite, tudi LMD s podpisno bazo poišče kakršno koli zlonamerno delujočo kodo in jo hitro prekine..

LMD se ne omejuje na lastno zbirko podpisov. Z bazami podatkov ClamAV in Team Cymru lahko uporabite še več virusov. Za napolnitev svoje baze podatkov LMD zajema podatke o nevarnosti iz sistemov za zaznavanje vdorov na rob omrežja. S tem lahko ustvari nove podpise za zlonamerno programsko opremo, ki se aktivno uporablja v napadih.

LMD se lahko uporablja v ukazni vrstici “maldet”. Orodje je posebej izdelano za platforme Linux in ga lahko enostavno iščete po Linux strežnikih.

Radare2

Radare2 (R2) je okvir za analizo binarnih datotek in izvajanje obratnega inženiringa z odličnimi sposobnostmi zaznavanja. Zazna lahko nepravilno oblikovane binarne datoteke in uporabniku omogoči upravljanje z njimi ter nevtralizira potencialne grožnje. Uporablja sdb, ki je baza podatkov NoSQL. Raziskovalci programske varnosti in razvijalci programske opreme raje to orodje zaradi svoje odlične sposobnosti predstavitve podatkov.

Ena od izjemnih lastnosti Radare2 je, da uporabnik ni prisiljen uporabljati ukazno vrstico za izvajanje nalog, kot so statična / dinamična analiza in izkoriščanje programske opreme. Priporočljivo je za vse vrste raziskav binarnih podatkov.

OpenVAS

Odprti sistem ocenjevanja ranljivosti ali OpenVAS, je gostovan sistem za skeniranje ranljivosti in upravljanje z njimi. Zasnovan je za podjetja vseh velikosti in jim pomaga odkriti varnostne težave, skrite v njihovi infrastrukturi. Na začetku je bil izdelek znan kot GNessUs, dokler njegov trenutni lastnik Greenbone Networks ni spremenil imena v OpenVAS.

Od različice 4.0 OpenVAS omogoča nenehno posodabljanje osnove za testiranje ranljivosti omrežja (NVT), običajno v obdobjih, krajih od 24 ur. Od junija 2016 je imela več kot 47.000 NVT-jev.

Varnostni strokovnjaki uporabljajo OpenVAS zaradi njegove zmožnosti hitrega skeniranja. Odlikuje ga tudi odlična konfiguracija. Programe OpenVAS lahko uporabljate iz samostojnega navideznega stroja za varno raziskovanje zlonamerne programske opreme. Njegova izvirna koda je na voljo pod licenco GNU GPL. Številna druga orodja za odkrivanje ranljivosti so odvisna od OpenVAS-a – zato je to ključni program na platformah, ki temeljijo na Linuxu.

REMnux

REMnux uporablja metode obratnega inženiringa za analizo zlonamerne programske opreme. Odkrije lahko številne težave, ki temeljijo na brskalniku, skrite v skrivnostnih odrezkih kode JavaScript in Flash апetov. Sposoben je tudi za skeniranje datotek PDF in izvajanje pomnilniške forenzike. Orodje pomaga pri odkrivanju zlonamernih programov znotraj map in datotek, ki jih ni mogoče enostavno skenirati z drugimi programi za odkrivanje virusov.

Učinkovit je zaradi svojih možnosti dekodiranja in povratnega inženiringa. Lahko določi lastnosti sumljivih programov, in ker je lahek, ga pametni zlonamerni programi zelo dobro zaznajo. Uporablja se lahko tako v Linuxu kot v operacijskem sistemu Windows, njegova funkcionalnost pa se lahko izboljša s pomočjo drugih orodij za skeniranje.

Tiger

Leta 1992, Teksas A&M univerza je začela delati naprej Tiger povečati varnost računalnikov v kampusu. Zdaj je to priljubljen program za Unix podobne platforme. Edinstvena stvar orodja je, da ni samo orodje za nadzor varnosti, ampak tudi sistem za zaznavanje vdorov.

Orodje je brezplačno za uporabo pod licenco GPL. To je odvisno od orodij POSIX in skupaj lahko ustvarijo popoln okvir, ki lahko znatno poveča varnost vašega strežnika. Tiger je v celoti napisan na jeziku lupine – to je eden od razlogov za njegovo učinkovitost. Primeren je za preverjanje stanja in konfiguracije sistema, njegova večnamenska uporaba pa je zelo priljubljena med ljudmi, ki uporabljajo orodja POSIX.

Maltrail

Maltrail je sistem za zaznavanje prometa, ki omogoča, da promet vašega strežnika ostane čist in mu pomaga preprečiti kakršne koli zlonamerne grožnje. To nalogo opravi s primerjanjem virov prometa s spletnimi mesti na črnem seznamu.

Poleg preverjanja spletnih mest na črni seznam uporablja tudi napredne hevristične mehanizme za zaznavanje različnih vrst groženj. Čeprav gre za neobvezno funkcijo, je to koristno, ko mislite, da je bil vaš strežnik že napaden.

Ima senzor, ki lahko zazna promet, ki ga dobi strežnik, in informacije pošlje strežniku Maltrail. Sistem za zaznavanje preveri, ali je promet dovolj dober za izmenjavo podatkov med strežnikom in virom.

YARA

Izdelano za Linux, Windows in macOS, YARA (Še ena smešna kratica) je eno najpomembnejših orodij, ki se uporablja za raziskovanje in odkrivanje zlonamernih programov. Uporablja besedilne ali binarne vzorce za poenostavitev in pospešitev postopka odkrivanja, kar ima za posledico hitro in enostavno opravilo.

YARA ima nekaj dodatnih funkcij, za njihovo uporabo pa potrebujete knjižnico OpenSSL. Čeprav te knjižnice nimate, lahko uporabite YARA za osnovne raziskave zlonamerne programske opreme prek mehanizma, ki temelji na pravilih. Uporablja se lahko tudi v peskovniku Cuckoo, peskovniku na osnovi Pythona, ki je idealen za varno raziskovanje zlonamerne programske opreme.

Kako izbrati najboljše orodje?

Vsa orodja, ki smo jih omenili zgoraj, delujejo zelo dobro, in ko je orodje priljubljeno v okolju Linux, ste lahko precej prepričani, da ga uporablja na tisoče izkušenih uporabnikov. Ena stvar, ki bi si jo morali zapomniti sistemski skrbniki, je, da je vsaka aplikacija običajno odvisna od drugih programov. Tako je na primer pri ClamAV in OpenVAS.

Razumeti morate, kaj potrebuje vaš sistem in na katerih področjih je lahko ranljiv. Prvič, s pomočjo lahkega orodja raziščite, na kateri odsek je potrebna pozornost. Nato z ustreznim orodjem rešite težavo.

Oznake:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map