Iako se mnogo govori da operacijski sustavi Linux nisu osjetljivi na napade virusa, u današnje vrijeme sa sve većim prijetnjama koje se pojavljuju i različitim tehnikama koje se koriste bez sumnje nijedan sustav nije 100% zaštićen pa stoga moramo poduzeti odgovarajuće sigurnosne mjere kako bismo spriječili napade i krađa osjetljivih podataka. S obzirom na to, imamo dvije kritične prijetnje, poput zlonamjernog softvera i rootkita, posebno zlonamjernog softvera i rootkita, koji mogu raditi na integriran i potpun način u Linuxu kao i u drugim "nesigurnim" operativnim sustavima.
Solvetic će pregledati neke od najboljih alata za skeniranje Linux sustava na zlonamjeran softver ili rootkite koji bi mogli ugroziti njegov normalan rad.
Što je rootkitRootkit je vrsta alata koji ima moć djelovati neovisno ili biti zajedno s bilo kojom varijantom zlonamjernog koda čiji je glavni cilj sakriti svoje svrhe od korisnika i administratora sustava.
Temeljni zadatak rootkita je sakriti informacije povezane s procesima, mrežnim vezama, datotekama, direktorijima, privilegijama, ali može dodati funkcionalnosti poput backdoor -a ili backdoor -a kako bi se omogućio stalan pristup sustavu ili iskoristili keyloggeri čiji zadatak je presresti pritiske tipki što aktivnosti korisnika dovodi u neposrednu opasnost.
Postoje različite vrste rootkita, kao što su:
Rootkit u korisničkom prostoruOva vrsta rootkita izvodi se izravno u korisničkom prostoru na istoj razini kao i ostale aplikacije i binarne datoteke, njegova je zadaća zamijeniti legitimne izvršne datoteke sustava s drugim izmijenjenim, tako da se podacima koje pružaju manipulira u negativne svrhe. Među glavnim binarnim datotekama koje napada rootkit imamo ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at i više.
Rootkit u prostoru jezgreJedan je od najopasnijih jer u ovom slučaju možete pristupiti sustavu i dobiti privilegije superkorisnika kako biste instalirali rootkit u načinu rada jezgre i na taj način postigli potpunu kontrolu nad sustavom, pa se, nakon što se integrirate u sustav, njihovo otkrivanje bit će mnogo složenije jer prelaze na višu razinu privilegija s dopuštenjima za izmjenu i mijenjaju ne samo binarne datoteke već i funkcije i pozive operacijskog sustava.
BootkitsOni imaju mogućnost dodavanja pokretačkih funkcija u rootkite i iz ovog načina utječu na sistemski firmver i boot sektore diska.
Što je zlonamjerni softverZlonamjerni softver (Zlonamjerni softver), u osnovi je program koji ima funkciju oštećenja sustava ili izazivanja kvara kako u sustavu tako i u tamo instaliranim aplikacijama, unutar ove grupe nalazimo viruse, trojance (trojanci), crve (crv), keyloggeri, botneti, otkupnina, špijunski softver, oglasni softver, lupeži i još mnogo toga.
Zlonamjerni softver ima različite pristupne putove gdje se može umetnuti u sustav, kao što su:
- Društveni mediji
- Lažne web stranice
- Zaraženi USB uređaji / CD -i / DVD -i
- Privici u neželjenim e -porukama (neželjena pošta)
Sada ćemo vidjeti najbolje alate za otkrivanje ovih prijetnji i nastaviti s njihovom ispravljanjem.
Lynis
Lynis je sigurnosni alat dizajniran za sustave koji koriste Linux, macOS ili operacijski sustav temeljen na Unixu.
Njegova je uloga izvršiti opsežno skeniranje zdravlja sustava kako bi podržalo učvršćivanje sustava i pokrenulo potrebne testove usklađenosti kako bi se isključile prijetnje. Lynis je softver otvorenog koda s licencom GPL -a i dostupan je od 2007. godine.
Glavne radnjeNjegove glavne radnje usmjerene su na:
- Revizije sigurnosti
- Testiranje usklađenosti kao što su PCI, HIPAA, SOx
- Testiranje prodora radi provjere unutarnje sigurnosti
- Otkrivanje ranjivosti
- Otvrdnjavanje sustava
Za njegovu instalaciju prije svega ćemo preuzeti datoteku sa službene web stranice:
cd/opt/wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
POVEĆAJTE
Izdvajamo sadržaj:
tar xvzf lynis-2.6.6.tar.gz
POVEĆAJTE
Na kraju premještamo aplikaciju u ispravan direktorij:
mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynisSkeniranje programa Lynis temelji se na mogućnostima, odnosno koristiti će samo ono što je dostupno, poput dostupnih alata ili knjižnica, pa se pomoću ove metode skeniranja alat može pokrenuti gotovo bez ovisnosti.
Što pokrivaAspekti koje Lynis pokriva su:
- Inicijalizacija i osnovne kontrole
- Odredite operacijski sustav i prateće alate
- Potražite dostupne uslužne programe sustava
- Provjerite ažuriranje programa Lynis
- Pokrenite omogućene dodatke
- Pokrenite sigurnosne testove na temelju kategorija
- Pokrenite prilagođene testove
- Prijavite stanje sigurnosnog skeniranja
Da bismo pokrenuli potpunu analizu sustava, izvršavamo:
Lynisov sustav revizije
POVEĆAJTE
Tamo će započeti cijeli proces analize i na kraju ćemo vidjeti sve rezultate u kategorijama:
POVEĆAJTE
Moguće je omogućiti automatsko funkcioniranje Lynisa u definiranom vremenskom rasponu, za to moramo dodati sljedeći cron unos, koji će se u ovom slučaju izvršiti u 11 sati noću i slati izvješća na unesenu adresu e -pošte :
0 23 * * * / usr / local / bin / lynis --quick 2> & 1 | mail -s "Lynisovo izvješće" [email protected]
Rkhunter
RKH (RootKit Hunter), besplatan je alat otvorenog koda i jednostavan za korištenje zahvaljujući kojem će biti moguće skenirati stražnja vrata, rootkite i lokalne programe na sustavima kompatibilnim s POSIX-om, poput Linuxa. Njegova je zadaća otkriti rootkite, budući da stvoren je kao alat za nadzor i analizu sigurnosti koji detaljno pregledava sustav kako bi otkrio skrivene sigurnosne rupe.
Alat rkhunter može se instalirati pomoću sljedeće naredbe na Ubuntu i CentOS sustavima:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)
POVEĆAJTE
Upisujemo slovo S kako bismo potvrdili preuzimanje i instalaciju uslužnog programa. Nakon instaliranja možemo pratiti sustav izvršavanjem sljedećeg:
sudo rkhunter -c
POVEĆAJTE
Tamo će se nastaviti proces analize sustava u potrazi za opasnim situacijama:
POVEĆAJTE
Tamo će analizirati sve postojeće mogućnosti rootkita i pokrenuti dodatne radnje analize na mreži i drugim stavkama.
Chkrootkit
Chkrootkit je još jedan od alata koji su razvijeni za lokalnu provjeru postoje li rootkitovi, ovaj uslužni program uključuje:
chkrootkitTo je ljuska skripta koja provjerava sistemske binarne datoteke radi izmjene rootkita.
ifpromisc.cProvjerite je li sučelje u promiskuitetnom načinu rada
chklastlog.cProvjerite brisanja zadnjeg dnevnika
chkwtmp.cProvjerite brisanja wtmp -a
check_wtmpx.cProvjerite brisanja wtmpx -a
chkproc.cPotražite znakove LKM trojanaca
chkdirs.cPotražite znakove LKM trojanaca
žice.cBrza i prljava zamjena lanca
chkutmp.cProvjerite brisanja utmp -a
Chkrootkit se može instalirati pokretanjem:
sudo apt install chkrootkit
POVEĆAJTE
U slučaju CentOS -a moramo izvršiti:
yum update yum install wget gcc -c ++ glibc -static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir/usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit ima smislaZa pokretanje ovog alata možemo koristiti bilo koju od sljedećih opcija:
sudo chkrootkit / usr / local / chkrootkit / chkrootkit
POVEĆAJTE
ClamAV
Još jedno od dobro poznatih rješenja za analizu ranjivosti u Linuxu je ClamAV koji je razvijen kao antivirusni mehanizam otvorenog koda (GPL) koji se može izvesti za različite radnje uključujući skeniranje e-pošte, skeniranje weba i web sigurnost.
ClamAV nam nudi niz uslužnih programa, uključujući fleksibilan i skalabilan višeslojni demon, skener naredbenog retka i napredni alat za automatsko ažuriranje baze podataka.
ZnačajkeMeđu njegovim najistaknutijim značajkama nalazimo:
- Skener naredbenog retka
- Milter sučelje za sendmail
- Napredno ažuriranje baze podataka s podrškom za skriptirana ažuriranja i digitalne potpise
- Integrirana podrška za formate arhiva kao što su Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS i drugi
- Stalno ažurirana baza podataka o virusima
- Integrirana podrška za sve standardne formate datoteka pošte
- Integrirana podrška za izvršne datoteke ELF i prijenosne izvršne datoteke pakirane s UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack i zamračene SUE, Y0da Cryptor i drugima
- Ugrađena podrška za formate dokumenata MS Office i MacOffice, HTML, Flash, RTF i PDF.
Za instaliranje ClamAV -a izvršit ćemo sljedeću naredbu:
sudo apt install clamav
POVEĆAJTE
Upisujemo slovo S kako bismo potvrdili preuzimanje i instalaciju ClamAV -a.
U slučaju CentOS -a možemo izvršiti sljedeće:
yum -y update yum -y install clamavZa izvršavanje ClamAV -a izvršit ćemo sljedeće:
sudo clamscan -r -i "Imenik"
POVEĆAJTE
LMD - Otkrivanje zlonamjernog softvera za Linux
Linux Detect Malware Detect (LMD) razvijen je kao skener zlonamjernog softvera za Linux pod licencom GNU GPLv2, čija je glavna funkcija koristiti podatke o prijetnjama iz sustava za otkrivanje upada za izdvajanje zlonamjernog softvera koji se aktivno koristi u napadima i može generirati potpise za otkrivanje ovih prijetnji .
Potpisi koje LMD koristi su raspršivanje datoteka MD5 i podudaranje HEX uzoraka, koji se također mogu lako izvesti u različite alate za otkrivanje, poput ClamAV -a.
obilježjaMeđu njegovim karakteristikama nalazimo:
- Ugrađena ClamAV detekcija koja će se koristiti kao motor skenera za najbolje rezultate
- MD5 otkrivanje raspršenosti datoteke za brzu identifikaciju prijetnje
- Komponenta statističke analize za otkrivanje prijetnji
- Ugrađena funkcija ažuriranja verzije s -d
- Integrirana funkcija ažuriranja potpisa s -u
- Dnevna cron skripta kompatibilna sa sustavima stila RH, Cpanel i Ensim
- Kernel inotify monitor koji može uzeti podatke o stazi iz STDIN -a ili FILE -a
- Dnevno skeniranje svih promjena u zadnja 24 sata u korisničke zapise na temelju crona
- Opcija vraćanja u karantenu za vraćanje datoteka na izvorni put, uključujući vlasnika
- Mogućnosti zanemarivanja pravila na temelju ruta, proširenja i potpisa
Za instaliranje LMD -a u Linux izvršit ćemo sljedeće:
cd/tmp/curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2/bash install.sh
POVEĆAJTE
Sada možemo izvršiti željeni direktorij, u ovom slučaju tmp ovako:
maldet -a / tmp
POVEĆAJTE
S bilo kojim od ovih alata bit će moguće očuvati integritet našeg sustava izbjegavajući prisutnost zlonamjernog softvera ili rootkita.