Все эти сканеры должны быть запущены от root user. Необходимо войти в систему как root, прежде чем продолжить или запустить «sudo su».
chkrootkit - сканер руткитов Linux
Chkrootkit - классический сканер руткитов. Он проверяет сервер на подозрительные процессы руткитов и проверяет на список известных руткит-файлов. Либо установить пакет, который поставляется с дистрибутивом (на Debian и Ubuntu).
Необходимо запустить
apt-get install chkrootkit
или загрузить исходники и установить вручную:
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense
После этого можно переместить диреторию chkrootkit куда - нибудь еще, например , / usr / local / chkrootkit :
cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit
и создать символическую ссылку для быстрого доступа:
ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit
Чтобы проверить сервер с chkrootkit, выполните следующую команду:
chkrootkit
Общий ложноположительный отчет:
Checking `bindshell'...
INFECTED (PORTS: 465)
Не стоит волноваться после получения этого сообщения на электронную почту, это SMTPS (Secure SMTP) порт почтовой системы и хорошо известный, как ложноположительный.
Даже можно запустить chkrootkit по cron и получить результаты по электронной почте. Во-первых, выяснить путь, где chkrootkit установлен на сервере с:
which chkrootkit
Пример:
root@server1:/tmp/chkrootkit-0.50# which chkrootkit
/usr/sbin/chkrootkit
Chkrootkit устанавливается в пути / USR / SBIN / chkrootkit, этот путь нужен в cron:
Запустить:
crontab -e
Создать cron job:
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.com)
Это будет работать chkrootkit каждую ночь в 3 часа. Заменить путь к chkrootkit с тем, что вы получили, из команды выше, и заменить электронную почту на реальный адрес.
Lynis - универсальный инструмент для безопасного аудита и руткит-сканер
Lynis (ранее RkHunter) является инструментом безопасного аудита для систем основанных на Linux и BSD. Он выполняет детальный аудит многих аспектов безопасности и конфигурации системы. Загрузить последние источники Lynis с https://cisofy.com/download/lynis/ :
cd /tmp
wget https://cisofy.com/files/lynis-2.4.8.tar.gz
tar xvfz lynis-2.4.8.tar.gz
mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Это позволит установить Lynis в директорию / usr / local / lynis и создать символическую ссылку для быстрого доступа. Теперь запустить
lynis update info
Проверить, используется ли последняя версия.
Теперь можно просканировать систему на наличие руткитов, запустив:
Lynis audit system
Lynis будет выполнять несколько проверок, а затем останавливается, чтобы дать некоторое время, для прочтения результатов. Нажмите [ENTER], чтобы продолжить сканирование.
В конце, он покажет краткую информацию о сканировании.
Для запуска Lynis неинтерактивно, необходимо запустить его с опцией --quick:
Lynis --quick
Чтобы запустить Lynis автоматически в ночное время, создать хрон вроде этого:
0 3 * * * / USR / местные / бен / Lynis --quick 2> & 1 | Почты -s «Lynis выход моего сервера» Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.)
Это будет работать Lynis каждую ночь в 3 часа. Заменить адрес электронной почты с реальным адресом.
ISPProtect – сайт-сканер вредоносных программ
ISPProtect - сканер вредоносного ПО для веб - серверов, он сканирует на наличие вредоносных программ в файлах веб - сайта и системы CMS , как Wordpress, Joomla, Drupal и т.д. Если запустить веб - хостинг сервера, то размещаемые сайты становятся наиболее атакованной частью сервера, и рекомендуется делать регулярные проверки готовности к нему. ISPProtect содержит 5 типов сканирования:
· Сканер, основанный на проверке подписей вредоносных программ.
· Эвристический сканер вредоносных программ.
· Сканер для отображения директорий установок устаревших систем CMS.
· Сканер, который показывает все устаревшие плагины WordPress всего сервера.
· Сканер содержимого базы данных, который проверяет базы данных MySQL на потенциально вредоносный контент.
ISPProtect не бесплатное программное обеспечение, но есть пробная версия, которая может быть использована без регистрации для тестирования или очисти зараженной системы.
ISPProtect требует PHP для установки на сервере, это должно быть на большинстве хостинг-систем. В случае, если ещё не установлена командная строка PHP, выполните:
apt-get install php5-CLI
на Debian и Ubuntu или:
yum install PHP
на Fedora и CentOS.
Выполните следующие команды, чтобы установить ISPProtect.
mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan
Для запуска ISPProtect, выполните следующую команду:
ispp_scan
Сканер автоматически проверяет наличие обновлений, а затем запрашивает ключ (введите слово «trial(пробный)» здесь) и после путь сайтов, обычно, это / var / www.
Please enter scan key: <-- trial
Please enter path to scan: <-- /var/www
Сканер теперь начнёт сканирование. Ход сканирования отображается. Имена зараженных файлов отображаются на экране в конце сканирования, а результаты сохраняются в sin-файле, ISPProtect установит директорию для дальнейшего использования:
После завершения сканирования, можно также найти результаты в следующих файлах:
Malware => /usr/local/ispprotect/found_malware_20170228201238.txt
Wordpress => /usr/local/ispprotect/software_wordpress_20170228201238.txt
Joomla => /usr/local/ispprotect/software_joomla_20170228201238.txt
Drupal => /usr/local/ispprotect/software_drupal_20170228201238.txt
Mediawiki => /usr/local/ispprotect/software_mediawiki_20170228201238.txt
Contao => /usr/local/ispprotect/software_contao_20170228201238.txt
Magentocommerce => /usr/local/ispprotect/software_magentocommerce_20170228201238.txt
Woltlab Burning Board => /usr/local/ispprotect/software_woltlab_burning_board_20170228201238.txt
Cms Made Simple => /usr/local/ispprotect/software_cms_made_simple_20170228201238.txt
Phpmyadmin => /usr/local/ispprotect/software_phpmyadmin_20170228201238.txt
Typo3 => /usr/local/ispprotect/software_typo3_20170228201238.txt
Roundcube => /usr/local/ispprotect/software_roundcube_20170228201238.txt
Shopware => /usr/local/ispprotect/software_shopware_20170228201238.txt
Mysqldumper => /usr/local/ispprotect/software_mysqldumper_20170228201238.txt
Starting scan level 1 ...
Для автоматического запуска ISPProtect как cronjob каждую ночь, необходимо создать cron файл с nano:
nano /etc/cron.d/ispprotect
и вставить следующую строку:
0 3 * * * root /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD
Заменить root@localhost на адрес реальной электронной почты, отчет о сканировании будет отправляться на этот адрес. Затем заменить «AAA-В-CCC-DDD» на лицензионный ключ.
Дискуссия
Написал Rocky 9
Опубликовано в: Установка nginx c PHP-FPM под CentOS 7.0 in LinuxНаписал Константин
Опубликовано в: Докеризация стека LEMP под Ubuntu c помощью Compose in LinuxНаписал bammbr
Опубликовано в: Шлюз для маленького отдела на Red Hat 9 in LinuxНаписал Федор
Опубликовано в: Установка и конфигурация Samba на CentOS 7 in LinuxНаписал Evgenytrl
Опубликовано в: Загрузка файлов с помощью Wget in Linux