Die besten Tools zum Überwachen und Scannen der Linux-Serversicherheit

Obwohl viel gesagt wird, dass Linux-Betriebssysteme nicht anfällig für Virenangriffe sind, ist heutzutage mit den zunehmenden Bedrohungen und den verschiedenen verwendeten Techniken zweifellos kein System zu 100% geschützt und daher müssen wir die entsprechenden Sicherheitsmaßnahmen ergreifen, um Angriffe zu verhindern und Diebstahl sensibler Informationen. Aus diesem Grund haben wir zwei kritische Bedrohungen wie Malware und Rootkit, insbesondere Malware und Rootkits, die in Linux wie in anderen „unsicheren“ Betriebssystemen integriert und vollständig funktionieren können.

Solvetic wird einige der besten Tools zum Scannen des Linux-Systems auf Malware oder Rootkits überprüfen, die den normalen Betrieb beeinträchtigen könnten.

Was ist ein Rootkit?Ein Rootkit ist eine Art Werkzeug, das die Fähigkeit besitzt, unabhängig zu agieren oder mit jeder Variante von bösartigem Code zusammenzuarbeiten, deren Hauptzweck darin besteht, seine Zwecke vor Benutzern und Systemadministratoren zu verbergen.

Die grundlegende Aufgabe eines Rootkits besteht darin, Informationen zu Prozessen, Netzwerkverbindungen, Dateien, Verzeichnissen, Berechtigungen zu verbergen, aber es kann Funktionalitäten wie Backdoor oder Backdoor hinzufügen, um dauerhaften Zugriff auf das System zu ermöglichen oder Keylogger zu verwenden, deren The Aufgabe ist es, die Tastenanschläge abzufangen, die Benutzeraktivitäten unmittelbar gefährden.

Es gibt verschiedene Arten von Rootkits wie:

Rootkit im UserspaceDiese Art von Rootkit läuft direkt im Userspace auf der gleichen Ebene wie andere Anwendungen und Binärdateien, ihre Aufgabe ist es, legitime ausführbare Systemdateien durch andere zu ersetzen, die modifiziert wurden, sodass die von ihnen bereitgestellten Informationen für negative Zwecke manipuliert werden. . Zu den wichtigsten Binärdateien, die von Rootkit angegriffen werden, gehören ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at und mehr.

Rootkit im KernelspaceEs ist eines der gefährlichsten, da Sie in diesem Fall auf das System zugreifen und Superuser-Rechte erhalten können, um ein Rootkit im Kernelmodus zu installieren und auf diese Weise die vollständige Kontrolle über das System zu erlangen. ihre Erkennung wird viel komplexer sein, da sie auf eine höhere Berechtigungsebene mit Berechtigungen zum Ändern wechseln und nicht nur die Binärdateien, sondern auch die Funktionen und Aufrufe des Betriebssystems ändern.

BootkitsDiese haben die Fähigkeit, Rootkits Boot-Funktionalitäten hinzuzufügen und von diesem Mod aus die System-Firmware und die Boot-Sektoren der Festplatte zu beeinflussen.

Was ist Malware?Malware (Schadsoftware), ist im Grunde ein Programm, das die Funktion hat, ein System zu beschädigen oder eine Fehlfunktion sowohl im System als auch in den dort installierten Anwendungen zu verursachen. Innerhalb dieser Gruppe finden wir Viren, Trojaner (Trojaner), Würmer (Wurm) , Keylogger, Botnets, Ransomwares, Spyware, Adware, Rogues und viele mehr.

Malware hat verschiedene Zugriffspfade, über die sie in das System eingefügt werden kann, wie zum Beispiel:

• Sozialen Medien

• Betrügerische Websites

• Infizierte USB-Geräte / CDs / DVDs

• Anhänge in unerwünschten E-Mails (Spam)

Jetzt werden wir die besten Tools sehen, um diese Bedrohungen zu erkennen und mit ihrer Korrektur fortzufahren.

Lynis

Lynis ist ein Sicherheitstool, das für Systeme entwickelt wurde, auf denen Linux, macOS oder ein Unix-basiertes Betriebssystem ausgeführt wird.
Seine Rolle besteht darin, einen umfassenden Systemzustandsscan durchzuführen, um die Systemhärtung zu unterstützen und die erforderlichen Compliance-Tests durchzuführen, um Bedrohungen auszuschließen. Lynis ist eine GPL-lizenzierte Open-Source-Software und seit 2007 erhältlich.

HauptaktionenSeine Hauptaktionen konzentrieren sich auf:

• Sicherheitsaudits

• Compliance-Tests wie PCI, HIPAA, SOx

• Penetrationstests, um die innere Sicherheit zu sehen

• Schwachstellenerkennung

• Systemhärtung

Lynis kann auf AIX-, FreeBSD-, HP-UX-, Linux-, macOS-, NetBSD-, NixOS-, OpenBSD- und Solaris-Systemen verwendet werden.

Für die Installation laden wir zunächst die Datei von der offiziellen Website herunter:

 cd/opt/wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz

VERGRÖSSERN

Wir extrahieren den Inhalt:

 tar xvzf lynis-2.6.6.tar.gz

VERGRÖSSERN

Schließlich verschieben wir die Anwendung in das richtige Verzeichnis:

 mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynis

Lynis-Scans basieren auf Gelegenheiten, d. h. es werden nur verfügbare Tools oder Bibliotheken verwendet. Daher kann das Tool mit dieser Scanmethode fast ohne Abhängigkeiten ausgeführt werden.

Was deckt es abFolgende Aspekte werden von Lynis abgedeckt:

• Initialisierung und grundlegende Steuerelemente

• Bestimmen Sie das Betriebssystem und die dazugehörigen Tools

• Nach verfügbaren Systemdienstprogrammen suchen

• Überprüfen Sie das Lynis-Update

• Aktivierte Plugins ausführen

• Führen Sie kategoriebasierte Sicherheitstests durch

• Benutzerdefinierte Tests ausführen

• Status des Sicherheitsscans melden

Um eine vollständige Analyse des Systems durchzuführen, führen wir Folgendes aus:

 Lynis-Audit-System

VERGRÖSSERN

Dort beginnt der gesamte Analyseprozess und schließlich sehen wir alle Ergebnisse in Kategorien:

VERGRÖSSERN

Es ist möglich, den Betrieb von Lynis in einem definierten Zeitbereich automatisch zu aktivieren, dazu müssen wir den folgenden Cron-Eintrag hinzufügen, der in diesem Fall um 11 Uhr nachts ausgeführt wird und Berichte an die eingegebene E-Mail-Adresse sendet :

 0 23 * * * / usr / local / bin / lynis --quick 2> & 1 | mail -s "Lynis Report" [email protected]

Rkhunter

RKH (RootKit Hunter) ist ein kostenloses, quelloffenes und einfach zu bedienendes Tool, mit dem es möglich ist, Backdoors, Rootkits und lokale Exploits auf POSIX-kompatiblen Systemen wie Linux zu scannen Es wurde als Sicherheitsüberwachungs- und Analysetool entwickelt, das das System detailliert inspiziert, um versteckte Sicherheitslücken zu erkennen.

Das rkhunter-Tool kann mit dem folgenden Befehl auf Ubuntu- und CentOS-basierten Systemen installiert werden:

 sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)

VERGRÖSSERN

Wir geben den Buchstaben S ein, um den Download und die Installation des Dienstprogramms zu bestätigen. Nach der Installation können wir das System überwachen, indem wir Folgendes ausführen:

 sudo rkhunter -c

VERGRÖSSERN

Dort wird der Prozess der Analyse des Systems auf der Suche nach gefährlichen Situationen fortgesetzt:

VERGRÖSSERN

Dort analysiert es alle vorhandenen Rootkit-Optionen und führt zusätzliche Analyseaktionen für das Netzwerk und andere Elemente aus.

Chkrootkit

Chkrootkit ist ein weiteres Tool, das entwickelt wurde, um lokal zu überprüfen, ob Rootkits vorhanden sind. Dieses Dienstprogramm enthält:

chkrootkitEs ist ein Shell-Skript, das die System-Binärdateien auf Rootkit-Modifikationen überprüft.
ifpromisc.cÜberprüfen Sie, ob sich die Schnittstelle im Promiscuous-Modus befindet
chklastlog.cLetzte Log-Löschungen prüfen
chkwtmp.cWtmp-Löschungen prüfen
check_wtmpx.cWtmpx-Löschungen prüfen
chkproc.cSuchen Sie nach Anzeichen von LKM-Trojanern
chkdirs.cSuchen Sie nach Anzeichen von LKM-Trojanern
strings.cSchneller und schmutziger Kettenwechsel
chkutmp.cUtmp-Löschungen überprüfen

Chkrootkit kann installiert werden, indem Sie Folgendes ausführen:

 sudo apt installiere chkrootkit

VERGRÖSSERN

Im Fall von CentOS müssen wir Folgendes ausführen:

 yum update yum install wget gcc-c ++ glibc-static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir / usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit sinnvoll

Um dieses Tool auszuführen, können wir eine der folgenden Optionen verwenden:

 sudo chkrootkit / usr / local / chkrootkit / chkrootkit

VERGRÖSSERN

ClamAV

Eine weitere bekannte Lösung für die Schwachstellenanalyse unter Linux ist ClamAV, die als Open-Source-Antivirus-Engine (GPL) entwickelt wurde und für verschiedene Aktionen wie E-Mail-Scan, Web-Scan und Web-Sicherheit ausgeführt werden kann.

ClamAV bietet uns eine Reihe von Dienstprogrammen, darunter einen flexiblen und skalierbaren Multithread-Daemon, einen Befehlszeilen-Scanner und ein fortschrittliches Tool für automatische Datenbank-Updates.

MerkmaleUnter seinen herausragendsten Eigenschaften finden wir:

• Befehlszeilenscanner

• Milter-Schnittstelle für sendmail

• Erweiterter Datenbank-Updater mit Unterstützung für skriptgesteuerte Updates und digitale Signaturen

• Integrierte Unterstützung für Archivformate wie Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS und andere

• Ständig aktualisierte Virendatenbank

• Integrierte Unterstützung für alle gängigen Mail-Dateiformate

• Integrierte Unterstützung für ausführbare ELF-Dateien und tragbare ausführbare Dateien, verpackt mit UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack und verschleiert mit SUE, Y0da Cryptor und anderen

• Integrierte Unterstützung für MS Office und MacOffice, HTML, Flash, RTF und PDF-Dokumentformate.

Um ClamAV zu installieren, führen wir den folgenden Befehl aus:

 sudo apt installieren clamav

VERGRÖSSERN

Wir geben den Buchstaben S ein, um den Download und die Installation von ClamAV zu bestätigen.

Im Fall von CentOS können wir Folgendes ausführen:

 yum -y Update yum -y Clamav installieren

Für die Ausführung von ClamAV werden wir Folgendes ausführen:

 sudo clamscan -r -i "Verzeichnis"

VERGRÖSSERN

LMD - Linux-Malware-Erkennung

Linux Malware Detect (LMD) wurde als Malware-Scanner für Linux unter der GNU GPLv2-Lizenz entwickelt, dessen Hauptfunktion darin besteht, Bedrohungsdaten von Intrusion Detection-Systemen zu verwenden, um Malware zu extrahieren, die aktiv bei Angriffen verwendet wird und Signaturen generieren kann, um diese Bedrohungen zu erkennen. .

Die von LMD verwendeten Signaturen sind MD5-Datei-Hashes und HEX-Musterübereinstimmungen, die auch problemlos in verschiedene Erkennungstools wie ClamAV exportiert werden können.

MerkmaleUnter seinen Eigenschaften finden wir:

• Integrierte ClamAV-Erkennung zur Verwendung als Scanner-Engine für beste Ergebnisse

• MD5-Datei-Hash-Erkennung zur schnellen Identifizierung von Bedrohungen

• Statistische Analysekomponente zur Bedrohungserkennung

• Eingebaute Versions-Update-Funktion mit -d

• Integrierte Signatur-Update-Funktion mit -u

• Tägliches Cron-Skript, kompatibel mit RH-, Cpanel- und Ensim-Stilsystemen

• Kernel-Inotify-Monitor, der Pfaddaten von STDIN oder DATEI übernehmen kann

• Täglicher cron-basierter Scan aller Änderungen der letzten 24 Stunden an Benutzerprotokollen

• Quarantäne-Wiederherstellungsoption, um Dateien im ursprünglichen Pfad wiederherzustellen, einschließlich des Besitzers

• Optionen zum Ignorieren von Regeln basierend auf Routen, Erweiterungen und Signaturen

Um LMD unter Linux zu installieren, führen wir Folgendes aus:

 cd / tmp / curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2 / bash install.sh

VERGRÖSSERN

Nun können wir das gewünschte Verzeichnis ausführen, in diesem Fall tmp wie folgt:

 maldet -a / tmp

VERGRÖSSERN

Mit jedem dieser Tools ist es möglich, die Integrität unseres Systems zu bewahren und das Vorhandensein von Malware oder Rootkits zu vermeiden.