Menu

Инструменты для сканирования сервера Linux на наличие вредоносных программ

Сервера, подключенные к Интернету, подвергаются атакам постоянно и сканируются весь день. В то время как обновления брандмауэра и регулярные системные обновления обеспечивают хорошую первичную защиту, для сохранности безопасности системы, необходимо также регулярно проверять наличие подключённых злоумышленников. Описанные в этом руководстве инструменты сделаны для разумных проверок, они сканируют на наличие вредоносных программ, вирусов и руткитов. Они должны работать регулярно, например, каждую ночь и отправлять отчеты по электронной почте. Можено также использовать Chkrootkit, RkHunter и ISPProtect, чтобы просканировать систему, когда будет замечена подозрительную активность, как высокие нагрузки, подозрительные процессы или когда сервер вдруг начинает отправлять вредоносные программы.

Все эти сканеры должны быть запущены от root user. Необходимо войти в систему как root, прежде чем продолжить или запустить «sudo su».

chkrootkit - сканер руткитов Linux

Chkrootkit - классический сканер руткитов. Он проверяет сервер на подозрительные процессы руткитов и проверяет на список известных руткит-файлов. Либо установить пакет, который поставляется с дистрибутивом (на  Debian и Ubuntu).

Необходимо запустить

apt-get install chkrootkit

или загрузить исходники и установить вручную:

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense

После этого можно переместить диреторию chkrootkit куда - нибудь еще, например , / usr / local / chkrootkit :

cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit

и создать символическую ссылку для быстрого доступа:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Чтобы проверить сервер с chkrootkit, выполните следующую команду:

chkrootkit

Общий ложноположительный отчет:

Checking `bindshell'...                                  

 INFECTED (PORTS:  465)

Не стоит волноваться после получения этого сообщения на электронную почту, это SMTPS (Secure SMTP) порт почтовой системы и хорошо известный, как ложноположительный.

Даже можно запустить chkrootkit по cron и получить результаты по электронной почте. Во-первых, выяснить путь, где chkrootkit установлен на сервере с:

which chkrootkit

Пример:

root@server1:/tmp/chkrootkit-0.50# which chkrootkit
/usr/sbin/chkrootkit

Chkrootkit устанавливается в пути / USR / SBIN / chkrootkit, этот путь нужен в cron:

Запустить:

crontab -e

Создать cron job:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.com)

Это будет работать chkrootkit каждую ночь в 3 часа. Заменить путь к chkrootkit с тем, что вы получили, из команды выше, и заменить электронную почту на реальный адрес.

Lynis - универсальный инструмент для безопасного аудита и руткит-сканер

Lynis (ранее RkHunter) является инструментом безопасного аудита  для систем основанных на  Linux и BSD. Он выполняет детальный аудит многих аспектов безопасности и конфигурации системы. Загрузить последние источники Lynis с https://cisofy.com/download/lynis/ :

cd /tmp
wget https://cisofy.com/files/lynis-2.4.8.tar.gz
tar xvfz lynis-2.4.8.tar.gz
mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Это позволит установить Lynis в директорию / usr / local / lynis  и создать символическую ссылку для быстрого доступа. Теперь запустить

lynis update info

Проверить, используется ли последняя версия.

Теперь можно просканировать систему на наличие руткитов, запустив:

Lynis audit system

Lynis будет выполнять несколько проверок, а затем останавливается, чтобы дать некоторое время, для прочтения результатов. Нажмите [ENTER], чтобы продолжить сканирование.

 

В конце, он покажет краткую информацию о сканировании.

 

Для запуска Lynis неинтерактивно, необходимо запустить его с опцией --quick:

Lynis --quick

Чтобы запустить Lynis автоматически в ночное время, создать хрон вроде этого:

0 3 * * * / USR / местные / бен / Lynis --quick 2> & 1 | Почты -s «Lynis выход моего сервера» Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.)

Это будет работать Lynis каждую ночь в 3 часа. Заменить адрес электронной почты с реальным адресом.

ISPProtect – сайт-сканер вредоносных программ

ISPProtect  -  сканер вредоносного ПО для веб - серверов, он сканирует на наличие вредоносных программ в файлах веб - сайта и системы CMS , как Wordpress, Joomla, Drupal и т.д. Если запустить веб - хостинг сервера, то размещаемые сайты становятся наиболее атакованной частью сервера, и рекомендуется делать регулярные проверки готовности к нему. ISPProtect содержит 5 типов сканирования:

·                 Сканер, основанный на проверке подписей вредоносных программ.

·                 Эвристический сканер вредоносных программ.

·                 Сканер для отображения директорий установок устаревших систем CMS.

·                 Сканер, который показывает все устаревшие плагины WordPress всего сервера.

·                 Сканер содержимого базы данных, который проверяет базы данных MySQL на потенциально вредоносный контент.

ISPProtect не бесплатное программное обеспечение, но есть  пробная версия, которая может быть использована без регистрации для тестирования или очисти зараженной системы.

ISPProtect требует PHP для установки на сервере, это должно быть  на большинстве хостинг-систем. В случае, если ещё не установлена командная строка PHP, выполните:

apt-get install php5-CLI

на Debian и Ubuntu или:

yum install PHP

на Fedora и CentOS.

Выполните следующие команды, чтобы установить ISPProtect.

mkdir -p /usr/local/ispprotect

chown -R root:root /usr/local/ispprotect

chmod -R 750 /usr/local/ispprotect

cd /usr/local/ispprotect

wget http://www.ispprotect.com/download/ispp_scan.tar.gz

tar xzf ispp_scan.tar.gz

rm -f ispp_scan.tar.gz

ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Для запуска ISPProtect, выполните следующую команду:

ispp_scan

Сканер автоматически проверяет наличие обновлений, а затем запрашивает ключ (введите слово «trial(пробный)» здесь) и после путь сайтов, обычно, это / var / www.

 

Please enter scan key: <-- trial
Please enter path to scan: <-- /var/www

Сканер теперь начнёт сканирование. Ход сканирования отображается. Имена зараженных файлов отображаются на экране  в конце сканирования, а результаты сохраняются в sin-файле, ISPProtect установит директорию для дальнейшего использования:

После завершения сканирования, можно также найти результаты в следующих файлах: 
Malware => /usr/local/ispprotect/found_malware_20170228201238.txt
Wordpress => /usr/local/ispprotect/software_wordpress_20170228201238.txt
Joomla => /usr/local/ispprotect/software_joomla_20170228201238.txt
Drupal => /usr/local/ispprotect/software_drupal_20170228201238.txt
Mediawiki => /usr/local/ispprotect/software_mediawiki_20170228201238.txt
Contao => /usr/local/ispprotect/software_contao_20170228201238.txt
Magentocommerce => /usr/local/ispprotect/software_magentocommerce_20170228201238.txt
Woltlab Burning Board => /usr/local/ispprotect/software_woltlab_burning_board_20170228201238.txt
Cms Made Simple => /usr/local/ispprotect/software_cms_made_simple_20170228201238.txt
Phpmyadmin => /usr/local/ispprotect/software_phpmyadmin_20170228201238.txt
Typo3 => /usr/local/ispprotect/software_typo3_20170228201238.txt
Roundcube => /usr/local/ispprotect/software_roundcube_20170228201238.txt
Shopware => /usr/local/ispprotect/software_shopware_20170228201238.txt
Mysqldumper => /usr/local/ispprotect/software_mysqldumper_20170228201238.txt
Starting scan level 1 ...

Для автоматического запуска ISPProtect  как  cronjob каждую ночь, необходимо создать cron файл с nano:

nano /etc/cron.d/ispprotect

и вставить следующую строку:

0 3  * * *   root      /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

 

Заменить root@localhost на адрес реальной электронной почты, отчет о сканировании будет отправляться на этот адрес. Затем заменить «AAA-В-CCC-DDD» на лицензионный ключ.

 

 

1 Комментарий

Авторизуйтесь, чтобы получить возможность оставлять комментарии
Go to top