Chociaż wiele mówi się, że systemy operacyjne Linux nie są podatne na ataki wirusów, obecnie wraz z rosnącymi zagrożeniami i różnymi stosowanymi technikami bez wątpienia żaden system nie jest w 100% chroniony i dlatego musimy podjąć odpowiednie środki bezpieczeństwa, aby zapobiec atakom oraz kradzież poufnych informacji. Biorąc to pod uwagę, mamy dwa zagrożenia, które są krytyczne, takie jak złośliwe oprogramowanie i rootkity, w szczególności złośliwe oprogramowanie i rootkity, mogą one działać w sposób zintegrowany i kompletny w Linuksie, tak jak w innych „niezabezpieczonych” systemach operacyjnych.
Solvetic dokona przeglądu niektórych z najlepszych narzędzi do skanowania systemu Linux w poszukiwaniu złośliwego oprogramowania lub rootkitów, które mogą zagrozić jego normalnemu działaniu.
Co to jest rootkitRootkit to rodzaj narzędzia, które może działać niezależnie lub współpracować z dowolnym wariantem złośliwego kodu, którego głównym celem jest ukrywanie swoich celów przed użytkownikami i administratorami systemu.
Podstawowym zadaniem rootkita jest ukrywanie informacji związanych z procesami, połączeniami sieciowymi, plikami, katalogami, uprawnieniami, ale może dodawać funkcjonalności takie jak backdoor czy backdoor w celu zapewnienia stałego dostępu do systemu lub korzystania z keyloggerów, które zadaniem jest przechwytywanie naciśnięć klawiszy, co naraża działania użytkownika na bezpośrednie ryzyko.
Istnieją różne typy rootkitów, takie jak:
Rootkit w przestrzeni użytkownikaTen typ rootkita działa bezpośrednio w przestrzeni użytkownika na tym samym poziomie, co inne aplikacje i pliki binarne, jego zadaniem jest zastąpienie legalnych plików wykonywalnych systemu innymi, które zostały zmodyfikowane, tak aby informacje, które dostarczają, były manipulowane w negatywnych celach. Wśród głównych binariów atakowanych przez rootkita mamy ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at i więcej.
Rootkit w przestrzeni jądraJest to jeden z najniebezpieczniejszych, ponieważ w tym przypadku możesz uzyskać dostęp do systemu i uzyskać uprawnienia superużytkownika, aby zainstalować rootkita w trybie jądra i w ten sposób uzyskać całkowitą kontrolę nad systemem, a więc po integracji z systemem, ich wykrywanie będzie znacznie bardziej złożone, ponieważ przechodzą na wyższy poziom uprawnień z uprawnieniami do modyfikowania i modyfikowania nie tylko plików binarnych, ale także funkcji i wywołań systemu operacyjnego.
BootkityMają one możliwość dodawania funkcji rozruchowych do rootkitów, a od tego modu wpływają na oprogramowanie układowe systemu i sektory rozruchowe dysku.
Co to jest złośliwe oprogramowanieMalware (Malicious software), to w zasadzie program, który ma za zadanie uszkadzać system lub powodować awarię zarówno w systemie, jak i zainstalowanych tam aplikacjach, w tej grupie znajdują się wirusy, trojany (trojany), robaki (robaki), keyloggery, botnety, ransomware, spyware, adware, łotrzykowie i wiele innych.
Złośliwe oprogramowanie ma różne ścieżki dostępu, przez które może zostać wprowadzone do systemu, takie jak:
- Media społecznościowe
- Fałszywe strony internetowe
- Zainfekowane urządzenia USB / CD / DVD
- Załączniki w niechcianych wiadomościach e-mail (Spam)
Teraz zobaczymy najlepsze narzędzia do wykrywania tych zagrożeń i kontynuowania ich naprawy.
Lynis
Lynis to narzędzie zabezpieczające przeznaczone dla systemów z systemem Linux, macOS lub systemem operacyjnym opartym na systemie Unix.
Jego rola polega na przeprowadzeniu szeroko zakrojonego skanowania stanu systemu w celu wsparcia wzmocnienia systemu i przeprowadzenia niezbędnych testów zgodności w celu wykluczenia zagrożeń. Lynis jest oprogramowaniem open source na licencji GPL i jest dostępny od 2007 roku.
Główne działaniaJego główne działania skupiają się na:
- Audyty bezpieczeństwa
- Testy zgodności, takie jak PCI, HIPAA, SOx
- Testy penetracyjne w celu sprawdzenia bezpieczeństwa wewnętrznego
- Wykrywanie luk
- Hartowanie systemu
W celu jego instalacji najpierw pobierzemy plik z oficjalnej strony:
cd / opt / wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
POWIĘKSZAĆ
Wyodrębniamy treść:
tar xvzf lynis-2.6.6.tar.gz
POWIĘKSZAĆ
Na koniec przenosimy aplikację do właściwego katalogu:
mv lynis / usr / lokalny / ln -s / usr / lokalny / lynis / lynis / usr / lokalny / bin / lynisSkanowanie Lynis jest oparte na możliwościach, to znaczy, że wykorzystuje tylko to, co jest dostępne, takie jak dostępne narzędzia lub biblioteki, dlatego przy użyciu tej metody skanowania narzędzie może działać prawie bez zależności.
Co to obejmujeAspekty, które obejmuje Lynis, to:
- Inicjalizacja i podstawowe sterowanie
- Określ system operacyjny i towarzyszące mu narzędzia
- Wyszukaj dostępne narzędzia systemowe
- Sprawdź aktualizację Lynis
- Uruchom włączone wtyczki
- Uruchom testy bezpieczeństwa oparte na kategoriach
- Uruchom niestandardowe testy
- Zgłoś stan skanowania bezpieczeństwa
W celu przeprowadzenia pełnej analizy systemu wykonujemy:
system audytu lynis
POWIĘKSZAĆ
Tam rozpocznie się cały proces analizy i wreszcie zobaczymy wszystkie wyniki w kategoriach:
POWIĘKSZAĆ
Możliwe jest aby działanie Lynisa było automatyczne w określonym przedziale czasowym, do tego musimy dodać następujący wpis crona, który zostanie wykonany w tym przypadku o godzinie 11 w nocy i będzie wysyłał raporty na wpisany adres e-mail :
0 23 * * * / usr / local / bin / lynis --quick 2> & 1 | mail -s "Raport Lynisa" [email protected]
Rkhunter
RKH (RootKit Hunter) to darmowe, otwarte i proste w obsłudze narzędzie, dzięki któremu możliwe będzie skanowanie backdoorów, rootkitów i lokalnych exploitów na systemach zgodnych z POSIX, takich jak Linux.Jego zadaniem jest wykrywanie rootkitów, ponieważ został stworzony jako narzędzie do monitorowania i analizy bezpieczeństwa, które szczegółowo sprawdza system w celu wykrycia ukrytych luk w zabezpieczeniach.
Narzędzie rkhunter można zainstalować za pomocą następującego polecenia w systemach opartych na Ubuntu i CentOS:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)
POWIĘKSZAĆ
Wpisujemy literę S, aby potwierdzić pobranie i instalację narzędzia. Po zainstalowaniu możemy monitorować system wykonując następujące czynności:
sudo rkhunter -c
POWIĘKSZAĆ
Tam będzie kontynuowany proces analizy systemu w poszukiwaniu niebezpiecznych sytuacji:
POWIĘKSZAĆ
Tam przeanalizuje wszystkie istniejące opcje rootkita i przeprowadzi dodatkowe działania analityczne w sieci i innych elementach.
Chkrootkit
Chkrootkit to kolejne narzędzie, które zostało opracowane w celu lokalnej weryfikacji, czy istnieją rootkity, to narzędzie zawiera:
chkrootkitJest to skrypt powłoki, który sprawdza systemowe pliki binarne pod kątem modyfikacji rootkita.
ifpromisc.cSprawdź, czy interfejs jest w trybie promiscuous
chklastlog.cSprawdź usunięcia ostatniego dziennika
chkwtmp.cSprawdź usunięcia wtmp
check_wtmpx.cSprawdź usunięcia wtmpx
chkproc.cPoszukaj oznak trojanów LKM
chkdirs.cPoszukaj oznak trojanów LKM
stringi.cSzybka i brudna wymiana łańcucha
chkutmp.cSprawdź usunięcia utmp
Chkrootkit można zainstalować uruchamiając:
sudo apt zainstaluj chkrootkit
POWIĘKSZAĆ
W przypadku CentOS musimy wykonać:
mniam aktualizacja mniam zainstaluj wget gcc-c ++ glibc-static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir / usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit ma sensAby uruchomić to narzędzie, możemy użyć dowolnej z następujących opcji:
sudo chkrootkit / usr / lokalny / chkrootkit / chkrootkit
POWIĘKSZAĆ
ClamAV
Innym znanym rozwiązaniem do analizy podatności w systemie Linux jest ClamAV, który został opracowany jako silnik antywirusowy o otwartym kodzie źródłowym (GPL), który może być wykonywany dla różnych działań, w tym skanowania poczty e-mail, skanowania sieci i bezpieczeństwa sieci.
ClamAV oferuje nam szereg narzędzi, w tym elastyczny i skalowalny wielowątkowy demon, skaner wiersza poleceń oraz zaawansowane narzędzie do automatycznych aktualizacji baz danych.
CechyWśród jego najbardziej wyróżniających się cech znajdujemy:
- Skaner wiersza poleceń
- Interfejs Milter do sendmaila
- Zaawansowany aktualizator baz danych z obsługą aktualizacji skryptowych i podpisów cyfrowych
- Zintegrowana obsługa formatów archiwów, takich jak Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS i inne
- Stale aktualizowana baza wirusów
- Zintegrowana obsługa wszystkich standardowych formatów plików poczty
- Zintegrowana obsługa plików wykonywalnych ELF i Portable Executable spakowanych za pomocą UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack i zaciemnionych za pomocą SUE, Y0da Cryptor i innych
- Wbudowana obsługa formatów dokumentów MS Office i MacOffice, HTML, Flash, RTF i PDF.
Aby zainstalować ClamAV, wykonamy następujące polecenie:
sudo apt zainstaluj clamav
POWIĘKSZAĆ
Wpisujemy literę S, aby potwierdzić pobranie i instalację ClamAV.
W przypadku CentOS możemy wykonać:
mniam -y aktualizacja mniam -y zainstaluj clamavW celu wykonania ClamAV wykonamy następujące czynności:
sudo clamscan -r -i "Katalog"
POWIĘKSZAĆ
LMD - wykrywanie złośliwego oprogramowania w systemie Linux
Linux Malware Detect (LMD) został opracowany jako skaner złośliwego oprogramowania dla systemu Linux na licencji GNU GPLv2, którego główną funkcją jest wykorzystanie danych o zagrożeniach z systemów wykrywania włamań w celu wyodrębnienia złośliwego oprogramowania, które jest aktywnie wykorzystywane w atakach i może generować sygnatury w celu wykrycia tych zagrożeń .
Sygnatury używane przez LMD to skróty plików MD5 i dopasowania wzorców HEX, które można również łatwo wyeksportować do różnych narzędzi do wykrywania, takich jak ClamAV.
funkcjeWśród jego cech znajdziemy:
- Wbudowane wykrywanie ClamAV do wykorzystania jako silnik skanera w celu uzyskania najlepszych wyników
- Wykrywanie skrótów plików MD5 w celu szybkiej identyfikacji zagrożeń
- Komponent analizy statystycznej do wykrywania zagrożeń
- Wbudowana funkcja aktualizacji wersji z -d
- Zintegrowana funkcja aktualizacji podpisu z -u
- Codzienny skrypt cron kompatybilny z systemami w stylu RH, Cpanel i Ensim
- Monitor inotify jądra, który może pobierać dane ścieżki z STDIN lub FILE
- Codzienne skanowanie w oparciu o crona wszystkich zmian w ciągu ostatnich 24 godzin do dzienników użytkowników
- Opcja przywracania kwarantanny w celu przywrócenia plików do oryginalnej ścieżki, w tym właściciela
- Opcje ignorowania reguł opartych na trasach, rozszerzeniach i podpisach
Aby zainstalować LMD w Linuksie, wykonamy następujące czynności:
cd / tmp / curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2 / bash install.sh
POWIĘKSZAĆ
Teraz możemy uruchomić żądany katalog, w tym przypadku tmp w ten sposób:
maldet -a / tmp
POWIĘKSZAĆ
Za pomocą dowolnego z tych narzędzi będzie można zachować integralność naszego systemu, unikając obecności złośliwego oprogramowania lub rootkitów.