В любой системе уязвимости могут нанести ущерб, если не будут предприняты необходимые меры безопасности. Самая известная мера защиты — регулярное обновление ПО. Однако, этого недостаточно для полноценной защиты.
Linux является одной из наиболее используемых ОС, что делает ее привлекательной мишенью для киберпреступников, которые пытаются украсть конфиденциальную информацию, загрузить вредоносные файлы в систему и запустить вредоносный скрипт, чтобы получить контроль над системой. Чтобы вы могли обезопасить Linux сервер и проверить наличие вредоносных программ, мы составили список лучших сканеров, а также инструменты для обнаружения зловредного ПО.
Lynis — это инструмент аудита безопасности с открытым исходным кодом для UNIX-систем. Lynis используется для глубокого сканирования и тестирования средств защиты.
Lynis может выполнять следующие функции:
Аудит безопасности;
Обнаружение уязвимостей;
Тестирование на проникновение;
Улучшение защиты системы;
Обнаружение ошибок конфигурации;
Установка через терминал:
Проверка команды Lynis:
Далее выводятся все доступные функции программы:
Запуск системы аудита Lynis:
Затем выводится информация о проведённом анализе:
При выполнении команды система аудита lynis создает два файла: lynis.log и lynis-report.dat. Файл lynis.log регистрирует все выполненные тесты во время аудита и возвращает результат тестов. Файл lynis-report.dat содержит отчет с предложениями по улучшению защиты системы. В результате, lynis раскрывает информацию о безопасности системы и возможных неправильных конфигурациях, и уязвимостях. Вот пример отчета lynis-report.dat:
Руткит даёт злоумышленнику возможность удаленно управлять вашим компьютером. Иногда руткит трудно обнаружить и сложно удалить. Chkrootkit представляет из себя инструмент для локальной проверки наличия признаков руткита.
Другими словами, это сценарий оболочки, который использует простые команды Linux для проверки расхождений в двоичных файлах системы. Chkrootkit может легко идентифицировать троянец по известным сигнатурам.
Установка через терминал:
Проверка команды Chkrootkit:
Запуск Chkrootkit:
Chkrootkit с Grep:
Далее выводится следующее: Во время тестов Chkrootkit выводит следующие сообщения:
Запуск Chkrootkit в экспертном режиме:
Команда выводит следующее:
Запуск Chkrootkit в экспертном режиме с Grep:
Команда должна вывести:
Команда «chkrootkit -x | egrep '^/'» запускает chkrootkit в экспертном режиме и указывает строки пути в системных командах, что помогает при поиске подозрительных строк в двоичных файлах системы. Поскольку набор известных подписей Chkrootkit фиксирован, этот параметр помогает расширить возможности Сhkrootkit.
Chkrootkit — это система обнаружения вторжений, которая предотвращает потенциальный вред и помогает в процессе восстановления, если ваша система была скомпрометирована.
Linux Malware Detect — это бесплатный open-source сканер вредоносного ПО, который предназначен для использования данных об угрозах из систем обнаружения сетевых вторжений и создания сигнатур вредоносных программ.
Установка через терминал:
Linux Malware Detect необходимо скачать с сайта https://rfxn.com. С помощью команды «wget https://www.rfxn.com/downloads/maldetect-current.tar.gz» можно загрузить сканер и сохранить его в нашем текущем рабочем каталоге.
Извлечение загрузки:
Для извлечения tar файла нужно использовать команду «tar -zxvf maldetect-current.tar.gz».
Теперь перейдите в каталог «maldetect-`version`»:
Если использовать команду «ls» для проверки содержимого каталога после извлечения tar файла, можно увидеть, что была создана новая папка с именем «maldetect-1.6.4». Теперь нужно перейти в каталог с помощью команды «cd maldetect-1.6.4».
Запуск сценария установки:
С помощью команды «ls» мы проверяем содержимое нашего каталога «maldet», который был создан после извлечения файла.
Далее нужно запустить скрипт «install.sh» в этом каталоге, чтобы установить Linux Malware Detect. Используйте команду «./install.sh» для запуска сценария установки или выполните команду «sh /path/to/file/install.sh» в зависимости от того, где находится ваш сценарий установки.
Команда должна вывести:
После установки следует отредактировать файл конфигурации:
С помощью команды «vi /usr/local/maldetect/conf.maldet» мы можем обновить файл конфигурации «maldet», чтобы изменить настройки.
Включаем оповещения по электронной почте:
Когда вы впервые открываете файл «conf.maldet», для параметра «email_alert» будет установлено значение «0». Если вы хотите получать уведомления по электронной почте о результатах автоматического сканирования, установите значение «1». Переменная «email_addr» является адресом электронной почты, на которое будут приходить уведомления.
Конфигурация ClamAV:
Изначально для «scan_clamscan» будет установлено значение «1». Лучше оставить это значение, чтобы ClamAV и LMD могли работать вместе для обеспечения лучшей производительности при сканировании. (ClamAV — это антивирусный движок с открытым исходным кодом для обнаружения троянов, вирусов и вредоносных программ)
Доступные команды Linux Malware Detect:
Запуск сканирования LMD:
Команда «maldet -a /var/log» просканирует весь каталог «/var/log».
После запуска будет выведено следующее:
Также вы получите электронное письмо с результатами сканирования. В нижней части экрана отобразился вывод «отчет о сканировании сохранен, для просмотра выполните: maldet –report 220608-1246.68920». У каждого пользователя имя отчета будет индивидуальным. Далее мы вводим команду «maldet –report 220608-1246.68920»
Отчет Maldet:
LMD отсканировал 4 файла, было 0 обращений и 0 файлов очищено. Это означает, что вредоносное ПО отсутствует, и ничего не нужно очищать.
Существует множество бесплатных open-source инструментов для обнаружения вредоносных программ. Поскольку каждый пользователь использует разные сценарии, мы предоставили список инструментов, которые можно использовать для разных целей.
Пользователь может выбрать правильный инструмент для своих нужд и установить его через командную строку или соответствующие интерфейсы.
Киберпреступники становятся все более продвинутыми в своих сценариях атак, а число киберугроз стремительно растет, поэтому мы не можем позволить себе иметь уязвимую систему.
Ежедневно регистрируется около 2200 кибератак (помимо незарегистрированных атак), которые можно предотвратить с помощью надлежащих мер защиты. Использование упомянутых инструментов — это первый шаг к обеспечению безопасности вашего сервера и системы.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках