11 Nástroje na skenovanie servera Linux kvôli nedostatkom zabezpečenia a škodlivému softvéru

Aj keď systémy založené na Linuxe sa často považujú za nepreniknuteľné, stále existujú riziká, ktoré treba brať vážne.


Rootkity, vírusy, ransomware a mnoho ďalších škodlivých programov môžu často útočiť na servery Linux a spôsobovať im problémy.

Bez ohľadu na operačný systém sú pre servery nevyhnutné bezpečnostné opatrenia. Veľké značky a organizácie prijali bezpečnostné opatrenia vo svojich rukách a vyvinuli nástroje, ktoré nielen odhaľujú nedostatky a malware, ale tiež ich opravujú a prijímajú preventívne opatrenia.

Našťastie sú k dispozícii nástroje za nízku cenu alebo zadarmo, ktoré môžu tomuto procesu pomôcť. Môžu zistiť chyby v rôznych častiach servera založeného na Linuxe.

Lynis

Lynis je známy bezpečnostný nástroj a je preferovanou voľbou pre odborníkov v Linuxe. Funguje aj na systémoch založených na Unixe a MacOS. Je to otvorená softvérová aplikácia, ktorá sa používa od roku 2007 na základe licencie GPL.

Lynis je schopný odhaliť bezpečnostné diery a konfiguračné nedostatky. Presahuje to však: namiesto toho, aby odhalilo zraniteľné miesta, navrhuje nápravné opatrenia. Preto, ak chcete získať podrobné audítorské správy, musíte ich spustiť v hostiteľskom systéme.

Inštalácia nie je potrebná na používanie programu Lynis. Môžete ho extrahovať zo stiahnutého balíka alebo z tarballu a spustiť ho. Môžete tiež získať z klonu Git, aby ste mali prístup k úplnej dokumentácii a zdrojovému kódu.

Lynis vytvoril pôvodný autor Rkhunter, Michael Boelen. Poskytuje dva druhy služieb založených na jednotlivcoch a podnikoch. V oboch prípadoch má vynikajúci výkon.

chkrootkit

Ako ste možno už uhádli, chkrootkit je nástroj na kontrolu existencie rootkitov. Rootkity sú typom škodlivého softvéru, ktorý môže serveru poskytnúť prístup neoprávnenému používateľovi. Ak prevádzkujete server založený na Linuxe, rootkity môžu byť problémom.

chkrootkit je jeden z najpoužívanejších programov založených na Unixe, ktorý dokáže detekovať rootkity. Používa ‘reťazce’ a ‘grep’ (príkazy nástroja Linux) na zistenie problémov.

Môže sa použiť z alternatívneho adresára alebo zo záchranného disku, ak chcete, aby overil už ohrozený systém. Rôzne komponenty Chkrootkit sa starajú o hľadanie odstránených záznamov v súboroch „wtmp“ a „lastlog“, nájdenie záznamov snifferov alebo konfiguračných súborov rootkit a kontrolu skrytých záznamov v „/ proc“ alebo volanie do programu „readdir“..

Ak chcete používať chkrootkit, mali by ste získať najnovšiu verziu zo servera, extrahovať zdrojové súbory, kompilovať ich a ste pripravení ísť.

rkhunter

Vývojár Micheal Boelen bol človek, ktorý stojí za výrobou rkhunter (Rootkit Hunter) v roku 2003. Je to vhodný nástroj pre systémy POSIX a môže pomôcť s detekciou rootkitov a ďalších zraniteľností. Rkhunter dôkladne prechádza súbormi (skrytými alebo viditeľnými), predvolenými adresármi, modulmi jadra a nesprávne nakonfigurovanými povoleniami..

Po rutinnej kontrole ich porovná s bezpečnými a správnymi záznamami databáz a vyhľadá podozrivé programy. Pretože program je napísaný v jazyku Bash, nie je ho možné spustiť iba na počítačoch Linux, ale aj na prakticky akejkoľvek verzii systému Unix.

ClamAV

Napísané v C++, ClamAV je antivírusový program s otvoreným zdrojovým kódom, ktorý vám môže pomôcť pri zisťovaní vírusov, trójskych koní a mnohých ďalších typov škodlivého softvéru. Ide o úplne bezplatný nástroj, a preto ho mnoho ľudí používa na skenovanie svojich osobných informácií vrátane e-mailov na prítomnosť škodlivých súborov. Slúži tiež významne ako serverový skener.

Tento nástroj bol pôvodne vyvinutý, najmä pre Unix. Napriek tomu má verzie tretích strán, ktoré je možné použiť v systémoch Linux, BSD, AIX, MacOS, OSF, OpenVMS a Solaris. Clam AV robí automatickú a pravidelnú aktualizáciu svojej databázy, aby bolo možné zistiť aj najnovšie hrozby. Umožňuje skenovanie z príkazového riadku a má viacvláknového škálovateľného démona, ktorý zvyšuje rýchlosť skenovania.

Môže zistiť rôzne druhy súborov, aby zistil zraniteľné miesta. Podporuje všetky komprimované súbory, vrátane RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS formát, BinHex a takmer akýkoľvek typ e-mailového systému..

LMD

Rozpoznať malware v systéme Linux – alebo LMD, skrátka – je ďalší renomovaný antivírusový systém pre systémy Linux špeciálne navrhnutý podľa hrozieb, ktoré sa zvyčajne vyskytujú v hostovaných prostrediach. Rovnako ako mnoho iných nástrojov, ktoré dokážu zistiť škodlivý softvér a rootkity, LMD používa databázu podpisov na nájdenie škodlivého kódu spustenia a jeho rýchleho ukončenia..

LMD sa neobmedzuje iba na svoju vlastnú databázu podpisov. Môže využiť databázy ClamAV a Team Cymru na nájdenie ešte väčšieho počtu vírusov. Na naplnenie svojej databázy LMD zachytáva údaje o hrozbách zo systémov detekcie narušenia siete. Týmto spôsobom dokáže generovať nové podpisy škodlivého softvéru, ktorý sa aktívne používa pri útokoch.

LMD je možné použiť prostredníctvom príkazového riadku „maldet“. Tento nástroj je špeciálne navrhnutý pre platformy Linux a môže ľahko prehľadávať servery Linux.

Radare2

Radare2 (R2) je rámec pre analýzu binárnych súborov a vykonávanie reverzného inžinierstva s vynikajúcimi detekčnými schopnosťami. Dokáže odhaliť chybné binárne súbory, čo dáva používateľovi nástroje na ich správu a neutralizuje potenciálne hrozby. Využíva sdb, čo je databáza NoSQL. Výskumníci bezpečnosti softvéru a vývojári softvéru uprednostňujú tento nástroj pre svoju vynikajúcu schopnosť prezentácie údajov.

Jednou z vynikajúcich vlastností Radare2 je to, že používateľ nie je nútený používať príkazový riadok na vykonávanie úloh, ako je statická / dynamická analýza a využívanie softvéru. Odporúča sa pre akýkoľvek typ výskumu binárnych údajov.

OpenVAS

– otvorený systém posudzovania zraniteľnosti alebo – OpenVAS, je hostovaný systém na skenovanie zraniteľností a ich správu. Je určený pre podniky všetkých veľkostí a pomáha im odhaľovať bezpečnostné problémy skryté v rámci ich infraštruktúr. Produkt bol pôvodne známy ako GNessUs, až kým jeho súčasný vlastník, Greenbone Networks, nezmenil svoj názov na OpenVAS..

Od verzie 4.0 umožňuje OpenVAS nepretržitú aktualizáciu svojej základne na testovanie zraniteľnosti siete (NVT) – zvyčajne v obdobiach kratších ako 24 hodín. V júni 2016 mala viac ako 47 000 NVT.

Odborníci na bezpečnosť používajú OpenVAS kvôli svojej schopnosti rýchleho skenovania. Má tiež vynikajúcu konfigurovateľnosť. Programy OpenVAS sa dajú použiť zo samostatného virtuálneho počítača na vykonávanie bezpečného výskumu škodlivého softvéru. Jeho zdrojový kód je dostupný pod licenciou GNU GPL. Mnoho ďalších nástrojov na zisťovanie zraniteľností závisí od OpenVAS – to je dôvod, prečo sa považuje za nevyhnutný program na platformách založených na Linuxe.

REMnux

REMnux používa metódy reverzného inžinierstva na analýzu škodlivého softvéru. Dokáže zistiť veľa problémov súvisiacich s prehliadačom, skrytých v útržkoch kódov JavaScript a appletoch Flash. Je tiež schopný skenovať súbory PDF a vykonávať forenznú pamäť. Tento nástroj pomáha pri zisťovaní škodlivých programov vo vnútri priečinkov a súborov, ktoré sa nedajú ľahko skontrolovať pomocou iných programov na zisťovanie vírusov.

Je efektívny vďaka svojim schopnostiam dekódovania a spätného inžinierstva. Dokáže určiť vlastnosti podozrivých programov a keďže je ľahký, inteligentné škodlivé programy ich nedajú ľahko zistiť. Môže sa používať v systémoch Linux aj Windows a jeho funkčnosť je možné vylepšiť pomocou ďalších skenovacích nástrojov.

tiger

V roku 1992 Texas A&Univerzita M začala pracovať tiger zvýšiť bezpečnosť počítačov kampusu. Teraz je to populárny program pre platformy podobné Unixu. Unikátna vec tohto nástroja je, že to nie je len nástroj bezpečnostného auditu, ale aj systém detekcie narušenia.

Tento nástroj je zadarmo používať na základe licencie GPL. Závisí to od nástrojov POSIX a spolu môžu vytvárať dokonalý rámec, ktorý môže výrazne zvýšiť bezpečnosť vášho servera. Tiger je písaný úplne v škrupinovom jazyku – to je jeden z dôvodov jeho účinnosti. Je vhodný na kontrolu stavu a konfigurácie systému a vďaka viacúčelovému použitiu je veľmi obľúbený medzi ľuďmi, ktorí používajú nástroje POSIX.

Maltrail

Maltrail je systém na detekciu prenosu, ktorý dokáže udržiavať prenos vášho servera čistý a pomáha mu predchádzať akýmkoľvek škodlivým hrozbám. Túto úlohu vykonáva porovnaním zdrojov návštevnosti s webmi na čiernej listine uverejnenými online.

Okrem kontroly lokalít na čiernej listine používa aj pokročilé heuristické mechanizmy na zisťovanie rôznych druhov hrozieb. Aj keď je to voliteľná funkcia, hodí sa, keď si myslíte, že váš server už bol napadnutý.

Má snímač schopný detekovať prenos, ktorý server dostane a odoslať informácie na server Maltrail. Detekčný systém overuje, či je prevádzka dostatočná na výmenu údajov medzi serverom a zdrojom.

YARA

Vyrobené pre Linux, Windows a MacOS, YARA (Ešte ďalšie absurdné skratky) je jedným z najdôležitejších nástrojov používaných na výskum a detekciu škodlivých programov. Využíva textové alebo binárne vzorce na zjednodušenie a urýchlenie procesu zisťovania, čoho výsledkom je rýchla a ľahká úloha.

YARA má niektoré ďalšie funkcie, ale na ich používanie potrebujete knižnicu OpenSSL. Aj keď túto knižnicu nemáte, môžete ju použiť na základný výskum škodlivého softvéru pomocou nástroja založeného na pravidlách. Môže byť tiež použitý v karanténe Cuckoo, karanténe založenej na Pythone, ktorá je ideálna pre bezpečný výskum škodlivého softvéru..

Ako zvoliť najlepší nástroj?

Všetky nástroje, ktoré sme spomenuli vyššie, fungujú veľmi dobre a keď je nástroj populárny v prostredí Linuxu, môžete si byť istí, že ho používajú tisíce skúsených používateľov. Správcovia systému by si mali pamätať, že každá aplikácia je zvyčajne závislá od iných programov. Napríklad v prípade ClamAV a OpenVAS.

Musíte pochopiť, čo váš systém potrebuje a v ktorých oblastiach môže byť zraniteľný. Najskôr pomocou ľahkého nástroja preskúmajte, ktorá časť si vyžaduje pozornosť. Potom použite správny nástroj na vyriešenie problému.

Tagy:

  • linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map