Även om det sägs mycket om att Linux -operativsystem inte är sårbara för virusattacker, nuförtiden med de ökande hoten som uppstår och de olika teknikerna som används utan tvekan att inget system är 100% skyddat och därför måste vi vidta respektive säkerhetsåtgärder för att förhindra attacker och stöld av känslig information. Med tanke på detta har vi två hot som är kritiska, till exempel malware och rootkit, malware och rootkits i synnerhet, de kan fungera på ett integrerat och komplett sätt i Linux som de gör i andra "osäkra" operativsystem.
Solvetic kommer att granska några av de bästa verktygen för att skanna Linux -systemet efter skadlig kod eller rootkits som kan äventyra dess normala funktion.
Vad är en rootkitEn rootkit är ett slags verktyg som har förmågan att agera självständigt eller vara tillsammans med någon variant av skadlig kod vars främsta mål är att dölja dess syften för användare och systemadministratörer.
Den grundläggande uppgif.webpten för en rootkit är att dölja information som är associerad med processer, nätverksanslutningar, filer, kataloger, privilegier, men den kan lägga till funktioner som bakdörr eller bakdörr för att ge permanent åtkomst till systemet eller använda keyloggers vars uppgif.webpten är att fånga upp knapptryckningarna som sätter användaraktiviteter i fara.
Det finns olika typer av rootkit som:
Rootkit i användarutrymmeDenna typ av rootkit körs direkt i användarutrymmet på samma nivå som andra applikationer och binära filer, dess uppgif.webpt är att ersätta legitima systemkörbara filer med andra som har modifierats, så att informationen de tillhandahåller manipuleras för negativa ändamål.. Bland de viktigaste binärfilerna som attackeras av rootkit har vi ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at och mer.
Rootkit i kärnutrymmeDet är en av de farligaste eftersom du i det här fallet kan komma åt systemet och få superanvändarprivilegier för att installera en rootkit i kärnläge och på så sätt uppnå total kontroll över systemet, och därmed en gång integreras i systemet, deras upptäckt kommer att bli mycket mer komplext eftersom de flyttar till en högre behörighetsnivå med behörigheter att modifiera och modifiera inte bara binärfilerna utan även funktioner och samtal i operativsystemet.
BootkitsDessa har möjlighet att lägga till startfunktioner till rootkits och från denna mod påverkar systemets firmware och diskstartssektorer.
Vad är skadlig kodMalware (skadlig programvara), är i grunden ett program som har funktionen att skada ett system eller orsaka ett fel både i systemet och i de installerade programmen, inom denna grupp hittar vi virus, trojaner (trojaner), maskar (mask), keyloggers, Botnets, Ransomwares, Spyware, Adware, Rogues och många fler.
Skadlig programvara har olika åtkomstvägar där den kan sättas in i systemet, till exempel:
- Sociala media
- Bedrägliga webbplatser
- Infekterade USB -enheter / CD -skivor / DVD -skivor
- Bilagor i oönskade mejl (skräppost)
Nu kommer vi att se de bästa verktygen för att upptäcka dessa hot och fortsätta med deras korrigering.
Lynis
Lynis är ett säkerhetsverktyg utformat för system som kör Linux, macOS eller ett Unix-baserat operativsystem.
Dess roll är att utföra en omfattande systemhälsoskanning för att stödja systemhärdning och köra nödvändiga efterlevnadstester för att utesluta hot. Lynis är GPL -licensierad öppen källkodsprogramvara och har varit tillgänglig sedan 2007.
HuvudåtgärderDess huvudsakliga åtgärder är inriktade på:
- Säkerhetsrevisioner
- Överensstämmelsestestning som PCI, HIPAA, SOx
- Penetrationstest för att se intern säkerhet
- Sårbarhetsdetektering
- Systemhärdning
För installationen kommer vi först och främst att ladda ner filen från den officiella webbplatsen:
cd/opt/wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
FÖRSTORA
Vi extraherar innehållet:
tar xvzf lynis-2.6.6.tar.gz
FÖRSTORA
Slutligen flyttar vi programmet till rätt katalog:
mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynisLynis -skanning är baserad på möjlighet, det vill säga att det bara kommer att använda det som är tillgängligt, till exempel tillgängliga verktyg eller bibliotek, så med hjälp av denna skanningsmetod kan verktyget köras med nästan inga beroenden.
Vad täcker detDe aspekter som Lynis täcker är:
- Initiering och grundläggande kontroller
- Bestäm operativsystemet och medföljande verktyg
- Sök efter tillgängliga systemverktyg
- Verifiera Lynis -uppdateringen
- Kör aktiverade plugins
- Kör kategoribaserade säkerhetstester
- Kör anpassade tester
- Rapportera status för säkerhetsgenomsökning
För att köra en fullständig analys av systemet kör vi:
lynis revisionssystem
FÖRSTORA
Där kommer hela analysprocessen att börja och slutligen kommer vi att se alla resultat i kategorier:
FÖRSTORA
Det är möjligt att aktivera Lynis -funktionen automatiskt inom ett definierat tidsintervall, för detta måste vi lägga till följande cron -post, som kommer att utföras, i detta fall, klockan 11 på natten och kommer att skicka rapporter till den angivna e -postadressen :
0 23 * * * / usr / local / bin / lynis -snabb 2> & 1 | mail -s "Lynis -rapport" mail@domän.com
Rkhunter
RKH (RootKit Hunter), är ett gratis, öppen källkod och lättanvänt verktyg tack vare vilket det blir möjligt att skanna bakdörrar, rootkits och lokala exploater på POSIX-kompatibla system, till exempel Linux. Dess uppgif.webpt är att upptäcka rootkits, eftersom det skapades som ett säkerhetsövervaknings- och analysverktyg som inspekterar systemet i detalj för att upptäcka dolda säkerhetshål.
Rkhunter -verktyget kan installeras med följande kommando på Ubuntu- och CentOS -baserade system:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)
FÖRSTORA
Vi anger bokstaven S för att bekräfta nedladdning och installation av verktyget. Efter installationen kan vi övervaka systemet genom att köra följande:
sudo rkhunter -c
FÖRSTORA
Där kommer processen att analysera systemet på jakt efter farliga situationer att fortsätta:
FÖRSTORA
Där kommer den att analysera alla befintliga rootkit -alternativ och köra ytterligare analysåtgärder på nätverket och andra objekt.
Chkrootkit
Chkrootkit är ett annat av verktygen som har utvecklats för att verifiera lokalt om det finns rootkits, det här verktyget innehåller:
chkrootkitDet är ett skalskript som kontrollerar systembinarierna för rootkit -ändring.
ifpromisc.cKontrollera om gränssnittet är i promiskuöst läge
chklastlog.cKontrollera borttagning av senaste logg
chkwtmp.cKontrollera wtmp -borttagningar
check_wtmpx.cKontrollera raderingar av wtmpx
chkproc.cLeta efter tecken på LKM -trojaner
chkdirs.cLeta efter tecken på LKM -trojaner
strängar. cSnabb och smutsig kedjebyte
chkutmp.cKontrollera utmp -borttagningar
Chkrootkit kan installeras genom att köra:
sudo apt installera chkrootkit
FÖRSTORA
När det gäller CentOS måste vi utföra:
yum uppdatera yum installera wget gcc -c ++ glibc -statisk wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir/usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit vettigtFör att köra det här verktyget kan vi använda något av följande alternativ:
sudo chkrootkit / usr / local / chkrootkit / chkrootkit
FÖRSTORA
ClamAV
En annan av de välkända lösningarna för sårbarhetsanalys i Linux är ClamAV som har utvecklats som en öppen källkod antivirusmotor (GPL) som kan köras för olika åtgärder inklusive e-postskanning, webbsökning och webbsäkerhet. Sista punkten.
ClamAV erbjuder oss en rad verktyg inklusive en flexibel och skalbar multithreaded daemon, en kommandoradsskanner och ett avancerat verktyg för automatiska databasuppdateringar.
FunktionerBland dess mest enastående funktioner hittar vi:
- Kommandoradsskanner
- Milter -gränssnitt för sendmail
- Avancerad databasuppdaterare med stöd för skriptuppdateringar och digitala signaturer
- Integrerat stöd för arkivformat som Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS och andra
- Ständigt uppdaterad virusdatabas
- Integrerat stöd för alla vanliga e -postfilformat
- Integrerat stöd för ELF -körbara filer och bärbara körbara filer packade med UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack och fördunklad med SUE, Y0da Cryptor och andra
- Inbyggt stöd för MS Office- och MacOffice-, HTML-, Flash-, RTF- och PDF-dokumentformat.
För att installera ClamAV kommer vi att utföra följande kommando:
sudo apt installera clamav
FÖRSTORA
Vi anger bokstaven S för att bekräfta nedladdning och installation av ClamAV.
När det gäller CentOS kan vi utföra följande:
yum -y uppdatera yum -y installera clamavFör utförandet av ClamAV kommer vi att utföra följande:
sudo clamscan -r -i "Katalog"
FÖRSTORA
LMD - Linux Malware Detect
Linux Malware Detect (LMD) har utvecklats som en malware -skanner för Linux under GNU GPLv2 -licensen, vars huvudsakliga funktion är att använda hotdata från system för intrångsdetektering för att extrahera skadlig kod som aktivt används i attacker och kan generera signaturer för att upptäcka dessa hot .
Signaturerna som LMD använder är MD5 -filhaschar och HEX -mönstermatchningar, som också enkelt kan exporteras till olika detekteringsverktyg som ClamAV.
funktionerBland dess egenskaper hittar vi:
- Inbyggd ClamAV-detektering som ska användas som skannermotor för bästa resultat
- MD5 -filhashdetektering för snabb hotidentifiering
- Statistisk analyskomponent för hotdetektering
- Inbyggd version uppdateringsfunktion med -d
- Integrerad signaturuppdateringsfunktion med -u
- Dagligt cron -skript kompatibelt med RH-, Cpanel- och Ensim -stilsystem
- Kernel inotify monitor som kan ta sökvägsdata från STDIN eller FILE
- Daglig cron-baserad genomsökning av alla ändringar under de senaste 24 timmarna till användarloggar
- Alternativ för karantänåterställning för att återställa filer till den ursprungliga sökvägen, inklusive ägare
- Alternativ för att ignorera regler baserade på rutter, tillägg och signaturer
För att installera LMD i Linux kommer vi att utföra följande:
cd/tmp/curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2/bash install.sh
FÖRSTORA
Nu kan vi köra önskad katalog, i det här fallet tmp så här:
maldet -a / tmp
FÖRSTORA
Med något av dessa verktyg kommer det att vara möjligt att bevara integriteten i vårt system och undvika förekomst av skadlig kod eller rootkits.
