Linux является одной из самых безопасных операционных систем на планете. Тем не менее, ничего не гарантируется, и если сервер подключен к сети, он уязвим … даже если этот сервер питается Linux. В тени всегда кто -то скрывается, надеясь получить доступ к этим серверам и использовать его в качестве средства для прибыльного конца.
Есть вредоносные программы, вымогатели, и, возможно, хуже всего, Rootkits, которые тайно устанавливают программное обеспечение, которое злоумышленники могут использовать для захвата вашего компьютера. Кажется, все они всегда готовы снять вашу компанию.
К счастью, с Linux есть инструменты, которые вы можете использовать для сканирования этих серверов на корт.
Что такое rootkit?
Для тех, кто не знаком, rootkit — это категория вредоносного программного обеспечения, которое обеспечивает контроль над операционной системой или устройством и манипулирует своим поведением, все время скрывая его существование.
Основной целью Rootkit является предотвращение обнаружения программным обеспечением безопасности, антивирусными программами и другими инструментами мониторинга, чтобы он мог продолжать делать то, что он делает (что всегда злонамеренно).
Руткиты часто работают на нескольких уровнях:
Манипулирование системой низкого уровня: Rootkits может изменить основные системы системных файлов, записи реестра или модули ядра, чтобы избежать обнаружения.
Операции в режиме ядра: Некоторые руткиты работают в так называемом режиме ядра, чтобы придать им низкоуровневый доступ к системным ресурсам и затрудняет определение их присутствия другого программного обеспечения.
Скрытие файлов и процессов: Rootkits почти всегда скрывает себя, изменяя имена файлов, значки, процессы, сетевые соединения и другие важные услуги.
Есть два разных типа корткетов:
Bootkit: Bootkits заражает Master Boot Record (MBR) на жестком диске во время запуска, чтобы предотвратить легитимные операционные системы.
Режим ядра Руткит: Эти корни работают в режиме ядра и могут перехватывать системные вызовы, манипулировать памятью или создавать фальшивый сетевой трафик.
Руткиты обычно включают в себя дополнительные функции, такие как мониторинг сетевой активности, управление процессом и шифрование данных.
Теперь, когда у вас есть базовое понимание того, что такое руткит, давайте выясним, как вы можете сканировать их на Linux.
Chkrootkit
Chkrootkit-это простой детектор Rootkit, который проверяет различные признаки инфекций на Unix-подобных файловых системах. Chkrootkit может быть установлен в системах на основе Ubuntu из стандартных репозитории с командой:
sudo apt -get установить chkrootkit -y 1 sudo apt -get install chkrootkit -y
Во время установки вас спросят, хотите ли вы настроить Chkrootkit для оповещений по электронной почте. Если вы решите, что хотите сделать это, убедитесь, что у вас есть необходимая информация для SMTP -сервера. Если нет, выберите только локальный.
Если вы используете распределение на основе Fedora, команда для установки:
Sudo dnf установить chkrootkit -y 1 sudo dnf install chkrootkit -y
После установки программного обеспечения вы можете запустить сканирование с командой:
Sudo Chkrootkit 1 Sudo Chkrootkit
Приложение немедленно запустит и начнет проверять на известных рутках. Когда он закончится, вы увидите отчет для всего, что он найден (или, надеюсь, не найден).
Вы можете настроить задание Cron для Chkrootkit, чтобы запустить ночью (в полночь) с командой. Для этого откройте редактор Crontab:
Southernch -e 1 Southterba -e
В нижней части файла добавьте следующее: где электронная почта — ваш адрес электронной почты.
Сохраните и закройте файл. Ваша система теперь будет автоматически отсканирована на для руткитов в полночь, и отчет будет отправлен на настроенное вами электронное письмо.
LMD
LMD означает обнаружение вредоносных программ Linux и представляет собой полнофункциональный сканер с открытым исходным кодом. LMD имеет полную систему отчетности, оповещения по электронной почте и использует данные об угрозах из систем обнаружения вторжений в сети для создания подписей вредоносного ПО, который активно используется.
Лучшая часть LMD — это то, что он регулярно обновляется, чтобы не отставать от постоянно меняющегося ландшафта вредоносных программ в дикой природе.
Вот шаги по установке LMD на Linux.
Откройте окно терминала. Загрузите источник с помощью команды Wget. Извлеките архив с помощью TAR xvzf maldetect-current.tar.gz Изменение в каталоге Maldetect с CD Maldetect Запустите установку с командой sudo ./install.sh
Установка происходит довольно быстро, так мигает, и все кончено.
Далее вам нужно настроить LDM. Откройте файл конфигурации с:
sudo nano/usr/local/maldetect/conf.maldet 1 sudo nano/usr/local/maldetect/conf.maldet
В этом файле вы найдете множество вариантов настройки. Например, вы найдете опцию quantine_clean, которая используется для того, чтобы сообщить LMD автоматически очищать любые обнаруженные вредоносные программы. Установите эту опцию 1, чтобы включить его. Пройдите весь этот файл и настройте все необходимое для вашей ситуации. Сохраните файл, когда закончите.
С LMD настроенным и готовым вы можете запустить ручное сканирование с командой:
Sudo maldet / 1 sudo maldet /
Вы также можете указать конкретные каталоги для сканирования. Если вы решите сканировать все под корневым каталогом (/), знайте, что для завершения потребуется некоторое время. Например, на моем экземпляре Ubuntu Server 24.04 для сканирования насчитывается более 62 тысяч файлов.
Еще одна хорошая особенность — возможность контролировать изменения каталогов. Например, вы можете отслеживать каталог /etc, как это:
Sudo Maldet -onitor / etc 1 sudo maldet -onitor / etc etc
Одна вещь, которую нужно помнить, это то, что если вы пойдете с опцией монитора, вам нужно будет установить alsy inotify tools с командой:
sudo apt-get установить inotify-tools -y 1 sudo apt-get install inotify-tools -y
При запуске параметра монитора вы найдете журнал по адресу/usr/local/maldetect/logs/inotify_log. Обязательно читайте этот файл, чтобы увидеть, что что -то в / и т. Д. / Этот файл журнала обновляется в режиме реального времени, поэтому, как только что-то изменится, он будет записан в файл.
Вы также можете перечислить карантинные файлы со следующим:
Sudo Zaldet -l 1 sudo maldet -l
Чтобы запланировать ежедневное сканирование с LMD, вы будете использовать Cronjob. Если вы хотите, чтобы это сканирование проходило в полночь каждый день, вы можете добавлять необходимую линию в кукурузу. Используя Sudo, открыть Crontab для редактирования с помощью:
Southernch -e 1 Southterba -e
В нижней части этого файла добавьте следующее: и там у вас есть: ваши серверы Linux теперь контролируются на корне. Никогда не предполагайте, только потому, что это Linux, что эти серверы гарантированно будут защищенными от хакерства.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Джек Уоллен-это то, что происходит, когда генеральный разум с умом с современным Snark. Джек — искатель истины и писатель слов с квантовым механическим карандашом и разрозненным ударом звука и души. Хотя он проживает … читайте больше от Джека Валлена
